Semperis anuncia Midnight in the War Room: Um documentário inovador sobre guerra cibernética com os principais defensores e hackers reformados do mundo
Defender-se contra ameaças baseadas na identidade

Catálogo de Ameaças à Identidade

Saiba mais sobre ameaças de identidade comuns, como detectá-las e como defender o seu ambiente AD contra ataques.

Quais são os tipos mais comuns de ataques baseados na identidade?

As agências de cibersegurança da aliança Five Eyes, incluindo a CISA e a NSA, instaram as organizações a reforçar a segurança em torno do Microsoft Active Diretory (AD), um alvo principal para os ciber-atacantes. Devido à sua utilização generalizada e complexidade, o AD é especialmente vulnerável a ciberameaças - especialmente os ataques baseados na identidade e as tácticas aqui discutidas.

Modificação do AdminSDHolder

A modificação do AdminSDHolder é uma técnica que os atacantes utilizam para manter o controlo sobre contas com privilégios elevados no Active Diretory. Ao alterar as definições de segurança especiais que são aplicadas a estas contas, os atacantes podem impedir os administradores de remover o seu acesso.

Torrefação AS-REP

O AS-REP Roasting é um método que os atacantes utilizam para roubar palavras-passe num sistema, solicitando informações de início de sessão encriptadas que são mais fáceis de decifrar. Esta tática visa contas que não requerem verificações de segurança adicionais ao iniciar a sessão.

DCShadow

O DCShadow é uma técnica de ataque que permite aos atacantes registar um controlador de domínio desonesto no Active Diretory. Os atacantes podem então fazer alterações não autorizadas diretamente na base de dados do AD, evitando a deteção.

DCSync

Num ataque DCSync, os atacantes utilizam permissões específicas para enganar um controlador de domínio e fazê-lo partilhar hashes de palavras-passe e outros dados sensíveis do Active Diretory.

SAML dourado/Silver SAML

Um ataque Golden SAML é uma técnica em que um atacante forja respostas de autenticação SAML para obter acesso não autorizado a aplicações - muitas vezes com privilégios elevados - sem necessitar de credenciais legítimas ou de interação direta com o fornecedor de identidade. Num ataque Silver SAML, os agentes de ameaças forjam respostas de autenticação SAML de um fornecedor de identidade na nuvem, como o Microsoft Entra ID, permitindo o acesso não autorizado a aplicações que confiam nesse fornecedor, mesmo sem credenciais de utilizador ou autenticação multi-fator.

Bilhete Dourado

Num ataque Golden Ticket, um atacante ganha controlo de um componente de encriptação de chaves (a conta KRBTGT) num domínio Windows, permitindo ao atacante criar bilhetes Kerberos válidos. Com estes bilhetes forjados, o atacante pode fazer-se passar por qualquer utilizador, incluindo administradores de domínio, e obter acesso ilimitado a todo o domínio durante um período prolongado.

Golden gMSA

Num ataque Golden gMSA, os agentes de ameaças descarregam os atributos de chave de raiz do KDS para gerar e explorar as palavras-passe das contas de serviços geridos em grupo (gMSAs), que são utilizadas para executar serviços com credenciais geridas.

Querberoasting

O Kerberoasting é um ataque em que os atacantes solicitam bilhetes de serviço para contas que executam serviços num domínio Windows. Estes bilhetes são encriptados com o hash da palavra-passe da conta de serviço, e os atacantes podem então tentar decifrar o hash offline para recuperar a palavra-passe da conta de serviço.

Reconhecimento de LDAP

O reconhecimento LDAP é uma técnica utilizada pelos atacantes para consultar o protocolo LDAP para recolher informações sobre utilizadores, grupos, computadores e permissões num ambiente Active Diretory.

Extração de NTDS.dit

Quando os atacantes copiam o ficheiro NTDS.dit, estão a roubar a base de dados do Active Diretory, que contém todas as informações das contas de utilizador, incluindo hashes de palavras-passe. Com este ficheiro, os atacantes podem extrair dados sensíveis - tais como as palavras-passe de todas as contas no domínio.

Passar o Hash

Num ataque Pass the Hash, os agentes da ameaça utilizam um hash de palavra-passe roubado para autenticar e aceder a sistemas como o utilizador comprometido.

Passar o bilhete

Num ataque Pass the Ticket, os agentes de ameaças utilizam um bilhete Kerberos roubado para se autenticarem como um utilizador sem necessitarem da sua palavra-passe.

Pulverização de palavras-passe

Num ataque de pulverização de palavras-passe, os atacantes tentam palavras-passe comuns em muitas contas, em vez de se concentrarem numa só conta. Esta tática reduz a probabilidade de bloqueios de contas à medida que os agentes da ameaça tentam obter acesso e aumentar os seus privilégios.

Extração de palavras-passe de texto simples/abuso de GPP

O abuso das Preferências de Política de Grupo (GPP) é um excelente exemplo de extração de palavras-passe em texto simples. Nas versões mais antigas do GPP, os administradores podiam configurar contas ou serviços locais com palavras-passe, que eram armazenadas em ficheiros XML, a partir dos quais podiam ser descodificadas com bastante facilidade. Além disso, as palavras-passe definidas no GPP podiam ser aplicadas em vários servidores e estações de trabalho membros.

Bilhete de prata

Um ataque Silver Ticket ocorre quando os atacantes forjam bilhetes de serviço Kerberos para serviços específicos, como partilhas de ficheiros ou aplicações Web, depois de comprometerem as credenciais da conta de serviço.

Exploração do Zerologon

O Zerologon é uma vulnerabilidade crítica (CVE-2020-1472) no protocolo de autenticação Netlogon que permite aos atacantes fazerem-se passar por qualquer computador, incluindo um controlador de domínio.

Mais informações sobre ameaças

Os especialistas em segurança de identidade da Semperis ajudam-no a manter-se vigilante contra ataques baseados na identidade.

Um novo ataque ao consentimento de aplicações: Concessão de consentimento oculto

Um novo ataque ao consentimento de aplicações: Concessão de consentimento oculto

  • Blog
Como se defender de um ataque Pass the Ticket: Segurança AD 101

Como se defender de um ataque Pass the Ticket: Segurança AD 101

  • Blog
Como se defender contra um ataque de retransmissão NTLM

Como se defender contra um ataque de retransmissão NTLM

  • Blog
Como se defender contra um ataque do tipo "Overpass the Hash

Como se defender contra um ataque do tipo "Overpass the Hash

  • Blog
Ler mais

Audite o seu ambiente para detetar ameaças à identidade

Purple Knight

Forest Druid

Forest Druid

Avaliação dos riscos

Avaliação de segurança AD

Avaliação de segurança da Entra ID