Como se defender contra ataques Golden Ticket: Segurança AD 101

Os ataques Golden Ticket são particularmente astutos. Tal como o Kerberoasting, os ataques Golden Ticket exploram o sistema de autenticação Kerberos e são uma das ameaças mais graves aos ambientes Active Directory. Aqui estão mais informações sobre este tipo de ataque e como pode defender o seu ambiente Active Directory.

O que é um ataque do Bilhete Dourado?

Os ataques Golden Ticket utilizam um Bilhete de Concessão de Bilhete Kerberos (TGT) falsificado para obter acesso ilimitado a serviços ou recursos num domínio do Active Directory. Ao contrário dos ataques em que os agentes da ameaça decifram os bilhetes existentes, os atacantes do Golden Ticket criam e utilizam bilhetes falsificados para se fazerem passar por um utilizador dentro da rede.

Este truque permite aos atacantes obter bilhetes de serviço Kerberos para vários recursos. Os agentes da ameaça podem utilizar esta autoridade não verificada para se infiltrarem nos sistemas de rede, contornando os controlos convencionais de acesso e autenticação.

Antes de entrarmos em mais detalhes sobre como esses ataques funcionam e como você pode defender o Active Directory contra eles, talvez seja útil revisar os conceitos básicos de segurança cibernética.

Leitura relacionada: Reduzir a superfície de ataque do Active Directory

O que é o Kerberos?

O Kerberos é o protocolo de autenticação predefinido no Active Directory. Este protocolo de autenticação de rede utiliza criptografia de chave secreta e é crucial para garantir que os utilizadores e serviços possam confiar uns nos outros num ambiente de rede. O Kerberos utiliza vários tipos de entidades criptográficas, denominadas bilhetes, para autenticar utilizadores ou serviços sem enviar palavras-passe através da rede. (Pode saber mais sobre o Kerberos e os bilhetes Kerberos aqui).

Quando a autenticação é bem sucedida, o Centro de Distribuição de Chaves (KDC) concede ao utilizador um Bilhete de Concessão de Bilhete (TGT). Os TGTs autorizam os utilizadores a solicitar bilhetes de serviço que lhes permitem aceder a aplicações como servidores de ficheiros ou bases de dados.

O que é a conta KRBTGT?

A conta KRBTGT, uma conta de utilizador integrada no Active Directory, desempenha um papel vital no protocolo de autenticação Kerberos. A palavra-passe da conta é gerada pelo sistema e não é alterada automaticamente.

O KDC utiliza a conta KRBTGT em cada controlador de domínio (DC) para encriptar TGTs com o hash NTLM dessa conta. Quando um utilizador solicita um bilhete de serviço para aceder a um recurso, o KDC utiliza este hash para validar o TGT apresentado. Por outras palavras, o hash da palavra-passe da conta KRBTGT é utilizado para assinar todos os bilhetes Kerberos no domínio.

A conta KRBTGT está desactivada para efeitos de início de sessão - e deve permanecer assim. O objetivo da conta é apenas facilitar a autenticação Kerberos no domínio do Active Directory. Proteja a conta KRBTGT. O comprometimento da conta pode levar a graves violações de segurança, incluindo ataques Golden Ticket.

O que é Mimikatz?

Mimikatz é um poderoso utilitário de código aberto, criado por Benjamin Delpy. Ele desenvolveu a ferramenta para fazer experiências com a segurança do Windows e para compreender melhor como as credenciais do Windows são armazenadas e transmitidas através da rede.

No entanto, o Mimikatz rapidamente se tornou infame na comunidade de cibersegurança devido à sua potente capacidade de explorar várias vulnerabilidades de segurança do Windows. Muitas dessas vulnerabilidades estão relacionadas com a forma como o Windows lida com a autenticação e as credenciais na memória.

O Mimikatz é capaz de extrair senhas de texto simples, hashes e tickets Kerberos da memória. Essencialmente, a ferramenta é um balcão único para qualquer pessoa que queira comprometer as medidas de segurança do Active Directory. O Mimikatz pode extrair credenciais e bilhetes de autenticação diretamente da RAM, onde por vezes podem ser encontrados em formato de texto simples. O Mimikatz pode aproveitar estes elementos para contornar os procedimentos de autenticação típicos, concedendo aos atacantes um acesso de grande alcance dentro do Active Directory.

O Mimikatz é frequentemente utilizado em cenários de pós-exploração. Assim que os atacantes ganham uma posição na sua rede, normalmente tentam aumentar os seus privilégios ou mover-se lateralmente para encontrar alvos de elevado valor.

Como é que os ataques do Bilhete Dourado funcionam?

Num ataque Golden Ticket, o atacante utiliza uma ferramenta como o Mimikatz para extrair o hash da palavra-passe do KRBTGT. O atacante pode usar este hash para encriptar um Kerberos TGT forjado, dando-lhe qualquer acesso ou tempo de vida que escolher. O atacante usa o hash para "provar" ao KDC que o bilhete é válido. Este TGT fabricado permite ao atacante o acesso ilimitado a qualquer serviço ou recurso num domínio do Active Directory.

Os ataques Golden Ticket envolvem vários passos complexos. Estes ataques requerem sofisticação e conhecimento do funcionamento interno do Active Directory e da autenticação Kerberos. Vamos analisar os principais passos de um ataque Golden Ticket.

1. Infiltração de domínios. Nesta fase inicial, o atacante encontra uma forma de entrar na rede da sua organização. O objetivo principal é estabelecer uma base de apoio dentro da rede. Pode então ser efectuado um reconhecimento detalhado para compreender a topologia da rede e identificar alvos lucrativos. A infiltração pode ser orquestrada através de uma série de estratégias, incluindo:
   • Exploração de vulnerabilidades conhecidas no sistema
   • Campanhas de spear phishing dirigidas a empregados desprevenidos
2. Aumento de privilégios. Após a infiltração, o atacante concentra-se em aumentar os seus privilégios na sua rede. Esta fase envolve normalmente uma série de tácticas para adquirir gradualmente direitos elevados. O objetivo final é garantir privilégios de administrador de domínio. Estes direitos abrem a porta para o núcleo do seu ambiente Active Directory. Com os privilégios de administrador de domínio, o atacante tem as permissões necessárias para iniciar sessão num DC, visar a base de dados do Active Directory (ficheiro NTDS.dit) e utilizar ferramentas poderosas como o Mimikatz para atingir os seus objectivos.
3. Compromisso do hash KRBTGT. Neste momento crucial, o atacante compromete a conta KRBTGT do seu domínio. Ao utilizar uma ferramenta como o Mimikatz para extrair o hash KRBTGT, um atacante que tenha obtido direitos de administrador de domínio pode utilizar o Mimikatz para recolher os dados de hash da memória do sistema ou da base de dados NTDS.DIT AD. Depois de comprometer o hash KRBTGT, o atacante pode manipular o mecanismo de autenticação em seu benefício.
4. Criação de TGTs. Com o hash KRBTGT na sua posse, o atacante cria TGTs - "Golden Tickets" para qualquer conta de utilizador no domínio, incluindo as que têm privilégios de administração do domínio. Estes TGTs têm credenciais fabricadas mas são assinados com o hash KRBTGT legítimo, fazendo com que pareçam genuínos para o serviço Kerberos. O atacante tem agora acesso praticamente ilimitado a todo o domínio. Pode fazer-se passar por qualquer utilizador e definir propriedades favoráveis do bilhete, incluindo tempos de vida extremamente longos, garantindo a persistência no seu ambiente.
5. Geração de bilhetes de serviço. A fase final do ataque Golden Ticket envolve a geração de bilhetes de serviço a partir dos TGTs fraudulentos. Usando os TGTs falsos, o atacante pode solicitar bilhetes de serviço para qualquer serviço disponível no domínio, ignorando a necessidade de autenticação adicional. O atacante ganha efetivamente um passe livre para aceder a qualquer recurso na rede, sem ser detectado. Pode gerar continuamente bilhetes de serviço válidos que permitem movimentos laterais extensos, exfiltração de dados e um maior entrincheiramento nos seus sistemas de rede.

Como se pode defender dos ataques do Bilhete Dourado?

Pode ver que os ataques Golden Ticket representam uma ameaça persistente e furtiva para a sua organização. Certas ferramentas e estratégias podem ajudá-lo a mitigar e a defender-se contra estes ataques perniciosos:

• Monitorizar a atividade dos bilhetes Kerberos
• Auditar o Active Directory e os registos do sistema
• Implantar ferramentas de segurança de endpoint
• Utilizar o Credential Guard
• Gerir cuidadosamente a palavra-passe da conta KRBTGT
• Aplicar o princípio do menor privilégio
• Adotar ferramentas e estratégias eficazes de deteção e resposta a ameaças à identidade (ITDR)

Vamos explorar estes métodos.

Monitorizar a atividade anómala de bilhetes Kerberos

Mantenha-se atento à atividade dos bilhetes Kerberos na sua rede. Examine regularmente as propriedades e os padrões de utilização destes bilhetes. Isto pode ajudá-lo a detetar irregularidades que podem indicar um ataque Golden Ticket. Por exemplo, esteja atento a bilhetes com períodos de vida invulgarmente longos ou bilhetes que concedam privilégios inesperados.

Auditar o Active Directory e os registos do sistema

Verificar de forma ativa e rotineira o Active Directory e os registos do sistema quanto a actividades suspeitas, tais como:

• Aumentos inesperados de privilégios
• Manipulações de tokens
• Leituras de memória do Serviço do Subsistema de Autoridade de Segurança Local (LSASS)

Detetar o acesso ou a manipulação invulgar de credenciais armazenadas pode ajudá-lo a neutralizar os atacantes no início do ciclo de vida do ataque.

Implantar ferramentas de segurança de endpoint

As plataformas de proteção de pontos finais (EPP) e as ferramentas de deteção e resposta de pontos finais (EDR) identificam e bloqueiam assinaturas de ferramentas maliciosas. Estas plataformas também podem detetar comportamentos invulgares que podem indicar o despejo de credenciais, um ato frequentemente observado nas fases iniciais de um ataque Golden Ticket.

Implementar o Credential Guard

O Credential Guard, uma funcionalidade dos sistemas Windows modernos, utiliza a segurança baseada na virtualização para isolar dados sensíveis. A funcionalidade restringe o acesso a estes dados apenas a software de sistema privilegiado. Este passo pode dissuadir significativamente os atacantes, impedindo-os de aceder à memória LSASS para recuperar credenciais.

Gerir a palavra-passe da conta KRBTGT

Altere a palavra-passe da conta KRBTGT duas vezes seguidas para resolver a capacidade do Kerberos de recordar as duas últimas palavras-passe. Este passo pode ajudar a invalidar hashes roubados, tornando-os inúteis para criar Golden Tickets.

Aplicar o privilégio mínimo

O modelo de privilégios mínimos atribui um acesso ou permissões mínimas aos utilizadores e sistemas. Resumindo: limitar os direitos apenas ao que é essencial para que os utilizadores ou sistemas desempenhem o seu papel ou função. Monitorizar de perto as actividades das contas com privilégios e resolver prontamente quaisquer desvios dos padrões regulares.

Adotar soluções avançadas de ITDR

As soluções que conseguem detetar padrões de utilização do Golden Ticket podem acelerar a deteção de ataques. Quanto mais cedo se conseguir detetar potenciais ataques, mais cedo se poderá reagir e reduzir os danos.

Estas soluções utilizam algoritmos e reconhecimento de padrões para identificar quando os Golden Tickets estão a ser utilizados na rede. Por exemplo, Purple Knight e Semperis Directory Services Protector ( DSP) procuram indicadores de exposição (IOEs) e indicadores de compromisso (IOCs) relacionados com a exploração do Kerberos. Melhor ainda, DSP pode automatizar a reversão de atividade suspeita no Active Directory até que possa ser revista e verificada como legítima.

Proteja o Active Directory para evitar ataques do Bilhete Dourado

A audácia e a eficácia do ataque Golden Ticket são preocupantes. Os atacantes podem utilizar este ataque não só para entrar no seu ambiente, mas também para se transformarem em super-utilizadores capazes de manipular a rede de forma extensiva e discreta. Podem aceder a dados confidenciais, modificar permissões de utilizador ou executar tarefas malévolas, tudo isto aparentando ser uma entidade de rede legítima.

Ao compreender os passos envolvidos num ataque Golden Ticket, pode estar melhor preparado para essas ameaças. A infiltração inicial e o aumento de privilégios são precursores das devastadoras fases finais do ataque. Outra precaução: Certifique-se de que mantém uma cópia de segurança dedicada do Active Directory, separada do sistema operativo, para se defender contra a perseverança do malware, caso necessite de recuperar o AD no pior dos cenários.

As empresas devem estar atentas. Protocolos de segurança rigorosos, monitorização contínua da superfície de ataque do Active Directory e formação podem ajudar as suas equipas de TI e de segurança a reconhecer os primeiros sinais de um ataque Golden Ticket e outras explorações centradas no Kerberos.