Luki w active directory: najczęstsze wektory ataków ransomware i strategie obronne

Luki w Active Directory: Najczęstsze wektory ataków ransomware i strategie obronne

Active Directory (AD) pozostaje centralnym filarem środowisk korporacyjnych, zarządzając uwierzytelnianiem, autoryzacją i politykami dostępu. Niestety, jego wszechobecność i krytyczne znaczenie sprawiają, że jest on głównym celem dla zaawansowanych grup cyberprzestępczych, w szczególności tych operujących ransomware. Skuteczne naruszenie AD często oznacza natychmiastową możliwość eskalacji uprawnień i, w konsekwencji, szyfrowania całego środowiska.

Najczęściej Wykorzystywane Luki w Active Directory przez Ransomware

Ataki ransomware rzadko rozpoczynają się od bezpośredniego szyfrowania. Najpierw wymagają one trwałego dostępu i eskalacji do poziomu Domain Admin. Poniżej przedstawiono kluczowe wektory wykorzystywane do osiągnięcia tego celu:

• Kerberoasting i AS-Rep Roasting: Atakujący wykorzystują te techniki do ekstrakcji zaszyfrowanych biletów Kerberos (TGS) zawierających hasze kont serwisowych (SPN). Następnie, poza siecią, łamią hasła, aby uzyskać dostęp do kont o wysokich uprawnieniach. Konta maszynowe, zwłaszcza te używane przez usługi, są tu szczególnie wrażliwe.
• Złamania Zaufania Domeny (Domain Trust Exploitation): W złożonych środowiskach z wieloma zaufanymi domenami, błędy w konfiguracji relacji zaufania mogą być wykorzystane do przekroczenia granic bezpieczeństwa i dostępu do zasobów, do których pierwotnie nie powinni mieć uprawnień.
• Niewłaściwe Konfiguracje Zasad Grupy (GPO Misconfigurations): Błędnie skonfigurowane GPO mogą nieumyślnie ujawnić hasła (np. poprzez skrypty logowania), umieścić klucze prywatne w łatwo dostępnych lokalizacjach lub zezwolić na zdalne wykonywanie kodu na serwerach.
• Ataki na Konta z Nadmiernymi Uprawnieniami (Over-privileged Accounts): Użytkownicy, którzy zachowali uprawnienia Domain Admin po migracji lub zmianie ról, stanowią łatwy cel. Po przejęciu takiego konta (np. poprzez phishing lub wykorzystanie słabych haseł), atakujący uzyskuje pełną kontrolę nad domeną.
• Wykorzystanie Starych Wektorów (Legacy Exploits): Chociaż załatane, przestarzałe protokoły lub niezałatane serwery z rolami Domain Controller (DC) mogą być podatne na exploity takie jak MS14-064 (Zerologon) lub luki w starszych wersjach SMB/LDAP, umożliwiające zdalne wykonanie kodu (RCE) lub przejęcie kontroli nad DC.

Metody Obrony Przed Eskalacją w Active Directory

Proaktywna obrona wymaga podejścia warstwowego, koncentrującego się na higienie kont, ograniczeniu możliwości ruchu bocznego (Lateral Movement) i ciągłym monitorowaniu.

1. Wzmocnienie Kont i Zasad Dostępu:

• Implementacja Tier Model (Model Warstwowy): Podział środowiska na warstwy (Tier 0, Tier 1, Tier 2) jest kluczowy. Konta administratorów Tier 0 (zarządzające kontrolerami domeny i kontami Tier 0) nigdy nie powinny być używane na stacjach roboczych (Tier 1/2).
• Zarządzanie Uprawnieniami Kont Serwisowych: Regularny audyt kont SPN i ograniczenie uprawnień kont serwisowych. W miarę możliwości wdrażanie Managed Service Accounts (MSA) lub Group Managed Service Accounts (gMSA), które automatycznie rotują hasła.
• Silne Haszowanie i Protokół Kerberos: Upewnienie się, że wszystkie systemy wspierają i domyślnie używają algorytmów haszujących odpornych na łamanie (np. AES-256), minimalizując podatność na Kerberoasting.

2. Ograniczenie Ruchu Bocznego i Wektorów Ataku:

• Endpoint Detection and Response (EDR) i LAPS: Wdrażanie LAPS (Local Administrator Password Solution) dla unikalnych haseł administratorów lokalnych na stacjach roboczych i serwerach zapobiega atakom wykorzystującym hasła administratora lokalnego.
• Segmentacja Sieci: Fizyczna lub logiczna (VLAN, Firewall) separacja stref Tier 0 od reszty infrastruktury. Ruch do kontrolerów domeny powinien być ściśle ograniczony.
• Zarządzanie Biletami Kerberos: Stosowanie zasad kontrolujących maksymalną żywotność biletów (Ticket Granting Ticket – TGT) i uniemożliwianie logowania na serwerach, które nie są do tego dedykowane.

Audyt i Monitorowanie – Klucz do Wczesnego Wykrycia

Ransomware często pozostaje w sieci przez tygodnie (tzw. dwell time) przed aktywacją. Skuteczny audyt i monitorowanie są niezbędne do wykrycia wczesnych oznak rekonesansu:

• Audyt Dostępu do Domeny: Regularne sprawdzanie, które konta mają prawo do resetowania haseł, zmian w obiektach AD oraz dostęp do kluczowych OU.
• Monitorowanie Zdarzeń Bezpieczeństwa: Konfiguracja zaawansowanego monitorowania logów Windows, w szczególności: 4624 (udane logowanie), 4768/4769 (żądania biletów Kerberos – kluczowe dla Kerberoasting), oraz 4740 (blokady kont).
• Narzędzia Specjalistyczne: Wykorzystanie narzędzi do oceny bezpieczeństwa AD, takich jak BloodHound lub PingCastle, do mapowania relacji uprawnień i identyfikacji ukrytych ścieżek eskalacji, które są niewidoczne w standardowych konsolach.

Podsumowując, Active Directory jest polem bitwy. Obrona przed atakami ransomware wymaga odejścia od pasywnej konfiguracji na rzecz aktywnego zarządzania uprawnieniami (Zero Trust dla AD) oraz ciągłego audytu, aby upewnić się, że ścieżki eskalacji, które cyberprzestępcy kochają, zostały zamknięte.