Active Directory に対する攻撃 ? また、それだけではありません...

（へアレッサンドロルゴロ)

04/08/23

読んでいて見つけたもの インフォグラフィック 本当に面白いです。私がインフォグラフィックスに惹かれるのは、図や図面を通じてコンセプトを明確かつ即座に表現できる点にあると認めざるを得ません。この表現方法は私の好奇心を刺激することが多いのですが、今回もそうでした。

これは、Active Directory (AD) を攻撃するための XNUMX の方法が示されているグループ (Ethical Hackers Academy) で公開された LinkedIn の投稿です。

そこで、AD ドメインを持つことがセキュリティの解決策になると考えている人がたくさんいることに何度も気づいたので、少し掘り下げてみるのが適切だと思いました。

すべてのシステムと同様に、AD はセキュリティ上の利点をもたらしますが、制限や脆弱性 (さらに多くの場合、不適切な構成!) がないわけではありません。これについては、この記事で説明します。

しかし、Active Directory とは何でしょうか?

Active Directory などのディレクトリサービスは、ディレクトリデータを保存し、ネットワーク管理者やユーザーがそれを利用できるようにする方法を提供します。 Active Directory は、名前、パスワード、電話番号などのユーザーアカウント情報を保存し、同じネットワーク上の他の承認されたユーザーがその情報にアクセスできるようにします。 Active Directory は、ディレクトリ情報の論理的および階層的編成の基礎として構造化データストアを使用し、Active Directory オブジェクトに関する情報を含みます。これらのオブジェクトには通常、サーバー、ボリューム、プリンター、ネットワークユーザーおよびコンピューターアカウントなどの共有リソースが含まれます。セキュリティは、ログイン認証とディレクトリ内のオブジェクトへのアクセス制御を通じて Active Directory と統合されています。 XNUMX 回のネットワークログインで、管理者はネットワーク全体の組織およびディレクトリデータを管理でき、許可されたネットワークユーザーはネットワーク上のどこからでもリソースにアクセスできます。ポリシーベースの管理により、最も複雑なネットワークの管理も簡素化されます。

したがって、AD は特定の機能を実行し、そのすべてがセキュリティ機能であるわけではないことを忘れないでください。 AD は、一部のデータの集中リポジトリとして機能します。そのようなデータは、一部のサービスの高可用性を確保するために複雑な組織全体に複製および配布でき、さまざまな種類の認証、GPO、ワークフローの使用を許可することでセキュリティ機能を実行し、監査を実行します。ユーザー認証などの Identity Management システムで発生する可能性のある一部のイベントや、シングルサインオン機能を実行することもできます。

したがって、機能の数と重要性を考慮すると、特に注意を払い、「AD が攻撃されたらどうなるのか?」と自問する必要があります。

網羅的であるつもりはありませんが、攻撃を無害にするため、または少なくとも攻撃を受けていることを認識するために研究する必要がある攻撃の種類をいくつか紹介します。

ケルベロスト。 CROWDSTRIKE の定義によれば、これはエクスプロイト後の攻撃手法 (既にシステム内にいるときに資格情報を拡張および昇格する傾向のある攻撃) です。この攻撃は、SPN サービス (サービスプリンシパル名: Identity Management サービス) を使用する AD アカウントのパスワードハッシュを取得することで構成されます。ハッシュが取得されると、攻撃者はパスワードを解読し、この時点で攻撃者はユーザーになりすますために必要なものをすべて手に入れ、許可されているすべてのネットワークまたはシステムにアクセスできるようになります。

パスワードスプレー攻撃。また、CROWDSTRIKE によると、このタイプの攻撃は、同じアプリケーション上のユーザーのリストに対して同じパスワードを試行することで構成されます。したがって、これは総当たり攻撃であり、複数のパスワードを持つ単一ユーザーに対する一般的な攻撃よりも隠すのが簡単です。この場合、攻撃者はシステム上のアクティブユーザーのリストを収集するために Active Directory を使用していますが、この情報の収集は他の方法でも行うことができるため、このタイプの攻撃をこれらの攻撃の中に考慮するのは正しくないと私は考えています。それはアクティブディレクトリをターゲットとします。そしてXNUMX番目に移りましょう。

ローカルループマルチキャストの名前解決 (LLMNR)。これは、UDP ポート 5355 でのマルチキャストパケットの使用により、ローカルネットワークでの名前解決を可能にするプロトコルです。この場合、AD は、LLMNR を使用しないという指示が GPO に含まれていない場合、次のゲームを実行します。攻撃者。また、このケースでは、これは AD の弱点ではなく、ネットワーク管理者の (できれば) 評価です。実際、最近ではそのようなケースが大幅に減ったとしても、LLMNR の使用が役立つ場合もあります。

Mimikatz を使用してハッシュを渡す。この攻撃手法は、AD から資格情報を盗むことから構成されます。認証情報は、攻撃された環境内で横方向の移動を実行するために使用できます。この攻撃を実行するには、Ntds.dit ファイル内にあるドメインユーザーのパスワードハッシュを、オブジェクトやグループに関する他の情報とともに抽出する必要があります。そのため、Mimikatz と呼ばれるツールを使用すると、ハッシュを使用してドメインのユーザーになりすまし、攻撃を実行することが可能になります。

LDAP 偵察。 LDAP 偵察と呼ばれる手法は、システム内から実行される攻撃で構成され、LDAP から情報を収集することを目的としています。このユーザー情報は、より高度な標的型攻撃に使用される可能性があります。

ブラッドハウンドの偵察。 BloodHound は、AD の脆弱性を検索できるツールですが、それだけではありません。 BloodHound はグラフ理論を利用して、Windows ドメイン内の隠れた関係、権限、セッション、および考えられる攻撃パスを特定します。理論的には、その目的はサイバーセキュリティ専門家がドメインを守るのを支援することですが、もちろん攻撃者によって使用される可能性もあります。

原則として、これらは AD に対する特定の攻撃やツールではなく、多くの場合、他のシステムに対しても有効であると言わなければなりません。

XNUMX 件の攻撃のリストには、AD に直接関与しない真に一般的な攻撃手法、特にデフォルトの認証情報、ハードコードされた認証情報、権限昇格も含まれています。これらの手法は AD に対してのみ使用できるものではなく、あらゆるコンピュータシステムに対して使用できます。

私はいつも、特に文章を書くとき、なぜそうなるのかを考えます。

タイトルは読者を惹き付けるかどうかに大きな影響を与える可能性があり、読者は自分が読む内容に必ずしも十分な注意を払っているわけではありません。結果は通常通りです。特定の主題やアイデアに賛成または反対して、人は影響を受けます。

この場合、Active Directory に対する XNUMX 種類の攻撃方法のうち、広範囲にわたる攻撃方法を考慮する必要があるため、最大 XNUMX 種類を考慮できます。いずれにせよ、少し洞察する機会を与えてくれたエシカルハッカーアカデミーに感謝します。

PS いつものように、提案や修正に協力してくれた SICYNT の友人に感謝します。

_{もっと知ることができます。}

_{- https://www.linkedin.com/posts/mohessa511_activedirectory-kerberos-attac...}

_{- https://www.crowdstrike.com/cybersecurity-101/kerberoasting/}

_{- https://thebackroomtech.com/2018/08/21/explanation-of-service-principal-...}

_{- https://www.crowdstrike.com/cybersecurity-101/password-spraying/}

_{- https://www.blackhillsinfosec.com/how-to-disable-llmnr-why-you-want-to/}