Por que recuperar o Active Directory de um ataque cibernético é um componente essencial do ITDR

Um plano para recuperar o Active Directory (AD) deve ser uma prioridade para o seu plano de detecção e resposta a ameaças à identidade (ITDR). Afinal de contas, vivemos num mundo federado de identidades híbridas, início de sessão sem contacto e trabalho distribuído. Neste cenário digital, tudo está ligado. Para a maioria das organizações, o AD está no centro da autenticação dos trabalhadores para que eles possam usar aplicativos e serviços conectados globalmente. Se o AD não for seguro, nada o será.

Todas as organizações preferem evitar um ataque de AD do que recuperar de um. No entanto, muitas tentativas de ataques ao AD são bem sucedidas. De acordo com um relatório da Enterprise Management Associates, 50% das organizações sofreram um ataque ao AD nos últimos um a dois anos, e mais de 40% indicaram que o ataque ao AD foi bem sucedido. Outro dado preocupante do relatório: Os testadores de penetração informaram que exploraram com êxito as exposições ao AD em 82% das vezes.

Descarregue hoje mesmo o seu relatório gratuito do inquérito de avaliação do ITDR.

Proteger o AD é importante, mas a capacidade de recuperar com sucesso o AD de um ataque cibernético - o componente "resposta" do ITDR - é fundamental, dada a proliferação de ataques sofisticados que visam o AD. Vamos mergulhar nos antecedentes do AD como um vector de ataque favorito dos cibercriminosos e analisar um cenário real que ilustra o complexo processo de recuperação do Active Directory.

Porque é que precisa de um plano para recuperar o Active Directory

Infelizmente, o Active Directory é frequentemente o elo mais fraco na cadeia de segurança da identidade. O problema não é o AD em si. Quando configurado e implementado correctamente, o AD pode ser incrivelmente versátil. Infelizmente, o AD pode ser mal configurado de tantas formas como é implementado.

E os agentes de ameaças sabem disso. É por isso que 90% dos ataques investigados pela consultora de cibersegurança Mandiant envolveram o AD de alguma forma. Nesses casos, o AD foi o vector de ataque inicial, foi direccionado para conseguir persistência ou foi utilizado para obter privilégios e permitir movimentos laterais através da rede.

O problema é duplo:

• Em primeiro lugar, as fraquezas sistémicas do AD fazem dele um alvo fácil. Uma vez que a identidade na nuvem se estende a partir do AD, é um alvo privilegiado para o abuso de credenciais, uma táctica envolvida em 80% de todas as violações de dados.
• Em segundo lugar, o modelo de confiança zero para o acesso à rede tem um lapso: assume implicitamente que os sistemas em que é aplicado, incluindo o AD, mantêm a sua integridade.

Por estas razões, o AD é frequentemente uma parte importante da cadeia de destruição do ciberataque. Os agentes de ameaças utilizam o AD para facilitar tudo, desde técnicas de persistência a escalada de privilégios e evasão à defesa.

O pior cenário do mundo real

Recentemente, testemunhámos em primeira mão a quantidade de danos que os agentes de ameaças podem causar através de uma instância comprometida do Active Directory.

Um dos nossos parceiros na região EMEA contactou-nos no início de Janeiro. Um cliente com uma infra-estrutura crítica no Médio Oriente tinha sido comprometido. O nosso parceiro estava a meio de uma implementação de detecção e resposta de endpoints (EDR) quando descobriu malware nos controladores de domínio do cliente. Não só vários clientes e servidores já estavam sob o controlo dos intrusos, como a floresta AD estava completamente comprometida e controlada pelos criminosos.

Por isso, chamaram-nos.

Ajudar a vítima a sobreviver exigiu uma operação de bloqueio e recuperação coordenada e bem orquestrada entre o cliente e a Semperis. A primeira coisa que fizemos foi criar uma rede de segurança através da nossa ferramenta Active Directory Forest Recovery ( ADFR). Começámos por criar uma cópia de segurança do AD do cliente, dissociada do seu sistema operativo. Isto permitiu-nos evitar surpresas desagradáveis, como rootkits e backdoors incorporados no sistema operativo do cliente.

Para esse efeito, também colocámos em quarentena tudo o que se encontrava na Política de Grupo - eliminando tácticas maliciosas que tiram partido da injecção de scripts, como o ransomware Ryuk. Também nos certificámos de aderir ao Microsoft Forest Recovery Guidance. Rodámos o bilhete Kerberos duas vezes para evitar ataques Golden Ticket.

Com a rede de segurança estabelecida, passámos à fase de análise, na qual procurámos responder a várias questões fundamentais:

• Como é que os actores de ameaças entraram?
• Como é que comprometeram a AD?
• Como é que obtiveram as credenciais de domínio?
• Poderão utilizar exposições adicionais para recuperar o acesso?
• Havia alguma porta traseira que precisasse de ser fechada?
• Qual era a postura de segurança de base do cliente?
• Quais as melhores práticas adoptadas pelo cliente?

Enquanto tudo isto acontecia, o cliente - um operador de infra-estruturas críticas - continuava com a sua actividade normal. O tempo de inactividade prolongado simplesmente não era uma opção. A organização precisava de continuar a prestar serviços aos seus próprios clientes, mesmo enquanto sondávamos os seus sistemas em busca de sinais de agentes de ameaças.

Avaliação da causa principal

O que descobrimos rapidamente foi que o cliente estava a ser atacado de várias direcções e por vários atacantes, cada um deles independente dos outros. Havia pelo menos quatro atacantes, cada um numa fase diferente da cadeia de destruição. Alguns já tinham contas de domínio, e outros estavam a tentar usar a palavra-passe.

Tínhamos um pesadelo de cibersegurança nas mãos.

Para verificar a existência de exposições do sistema, como a ligação de Objectos de Política de Grupo (GPO) e palavras-passe reversíveis, utilizámos o Purple Knight. Também aplicámos scripts adicionais, verificações manuais e soluções conforme a situação exigia.

Encontrámos várias contas de utilizador, incluindo contas de administrador, com SPNs definidos: alvos privilegiados para o Kerberoasting. Também descobrimos que os computadores do domínio não tinham capacidade para definir qualquer certificado no sistema. E encontrámos uma conta de helpdesk que podia repor toda e qualquer palavra-passe no sistema, incluindo as dos administradores do sistema.

Recuperar o Active Directory

Nunca nos tínhamos deparado com um cenário como este. Resolver o problema parecia semelhante a sermos alvejados em várias direcções enquanto tentávamos mudar os pneus de um carro que seguia pela auto-estrada a 160 quilómetros por hora.

Por fim, decidimos que a nossa melhor aposta era dividir para conquistar. A equipa EDR continuou a implementar os seus EDRs nos servidores, enquanto procurava e neutralizava os centros de comando e controlo. Passámos um dia inteiro e meio a reforçar o Active Directory. As nossas acções incluíram:

• Introduzir um modelo de camadas (os administradores tinham estado a iniciar sessão no seu correio electrónico em estações de trabalho normais)
• Criação de contas completamente novas com recurso ao grupo de utilizadores MS Protected
• Identificação e remoção de potenciais alvos de Kerberoasting
• Configuração de permissões de unidades organizacionais (OU) e adaptações de GPO

O nosso último passo foi o mais difícil. Precisávamos de preservar o núcleo da implementação desta organização de infra-estruturas críticas - algo semelhante a um transplante de coração digital.

Esperámos pelo fim-de-semana, quando o tráfego seria mínimo, e começámos a trabalhar para desligar tudo.

Apenas 30 minutos mais tarde, tínhamos transplantado um AD limpo e reforçado de volta para o sistema. ADFR tratou dos detalhes, tais como pools de RID e bilhetes Kerberos, enquanto a equipa EDR lidava com 20 sistemas de comando e controlo e bloqueava centenas de endereços IP. Depois de um rápido reinício, tudo o que restava era uma implementação de AD segura e totalmente funcional, activada com o Azure AD Passthrough para Office 365.

Tirado do fogo

O Active Directory é incrivelmente versátil, mas também pode ser uma enorme ameaça à segurança se for configurado incorrectamente. Nosso cliente aprendeu isso da maneira mais difícil. Felizmente, eles tinham soluções que permitiram a correção do curso - sem interrupções significativas no serviço.

Embora a recuperação do Active Directory nesta situação tenha colocado muita pressão sobre todos os envolvidos, a recompensa de afastar os atacantes foi inestimável. Como o CEO da Semperis, Mickey Bresman, costuma dizer, nossa missão é ser uma Força do Bem. A nossa equipa de Breach Preparedness & Incident Response (BP&IR) leva esta responsabilidade muito a sério, tal como todos nós na Semperis. À medida que entramos no novo ano, a nossa resolução é continuar a ajudar as organizações de todo o mundo a defenderem-se dos ciberataques, reforçando a sua posição de ITDR e utilizando todos os recursos disponíveis para o ajudar a recuperar o Active Directory, caso o pior aconteça.

Saiba mais com os seguintes recursos e descarregue gratuitamente o nosso relatório do inquérito de avaliação de ITDR.

Saiba mais

• Actualização dos Planos de Recuperação de Desastres com o Painel de Peritos da HIP Londres
• Como recuperámos o Active Directory do inferno dos ciberataques
• Active Directory Forest Recovery Apresenta nova ferramenta de aprovisionamento de SO
• Active Directory Forest Recovery