.png)
O que é um controlador de domínio?
Um controlador de domínio é um tipo de servidor de computador que responde às solicitações de autenticação de segurança e verifica os usuários no domínio de uma rede de computadores. O controlador é um gatekeeper para permitir o acesso do host aos recursos do domínio. Ele também aplica políticas de segurança, armazena as informações da conta do usuário e autentica os usuários em um domínio.
Este blog analisa a abordagem que os invasores usam, depois de obter uma posição inicial em um controlador de domínio, para descobrir e entender um ambiente antes de se moverem lateralmente. Muitas das técnicas efetivamente “vivem da terra” de um endpoint ou servidor para, eventualmente, chegar aos controladores de domínio e lançar um ataque. Nosso próximo post examinará algumas maneiras pelas quais os atacantes se movem lateralmente e, por fim, exploraremos mitigações para evitar movimento lateral.
Os atacantes encontram uma maneira de entrar.
Depois de entrarem, é uma questão de se mover lateralmente, geralmente para alcançar o controlador de domínio a fim de orquestrar um ataque. Depois que um invasor tem acesso a ela, ele é efetivamente um administrador de TI, portanto, “viver da terra” não poderia ser mais fácil. Vamos examinar um ataque, supondo que uma violação seja a de que um atacante acabará encontrando uma forma de entrar.
Mas primeiro, vamos analisar os controladores de domínio. Você provavelmente já sabe disso, mas um servidor de controlador de domínio da Microsoft, o Active Directory, é responsável por autenticar o acesso (verificar o login dos usuários) a um domínio do Windows e aos recursos de rede associados. Ele contém um diretório de usuários, grupos e computadores e é um repositório de serviços de rede, como compartilhamentos de arquivos, compartilhamentos de rede e impressoras. Um servidor provisionado com as funções dos Serviços de Domínio do Active Directory se torna um controlador de domínio. Ele também é instalado com um servidor DNS para gerenciar a resolução de nomes e outros serviços de rede internos. Embora sejam altamente orientados por GUI, um controlador de domínio e um servidor de diretório ativo são muito complexos, especialmente em uma rede corporativa típica, na qual é provável que haja vários para replicação e tolerância a falhas.
Como resultado das funções altamente interligadas em um domínio do Windows, o controlador de domínio hospeda muitos serviços diferentes, dependendo do número de funções que ele é provisionado para desempenhar. Funções como DNS para resolução interna de nomes, emissão de tíquetes Kerberos para autenticação, bloco de mensagens do servidor, serviços de certificados e muito mais. Isso amplia o superfície de ataque e, de fato, existem muitos ataques contra componentes como:
- Uso de credenciais de login único
- emissão de bilhetes Kerberos,
- Nomes principais de serviços (SPN),
- Objetos de política de grupo (GPO),
- Confiança e delegação do Active Directory
- RPC e SMB.
A maioria desses ataques é fortemente facilitada pela travessia da rede. Todos esses serviços vêm com portas e protocolos associados.
A tabela abaixo mostra as portas e os protocolos que provavelmente serão usados por um controlador de domínio típico que devem ser deixados abertos. Isso equivale a uma ampla superfície de ataque que os malfeitores podem usar. O desafio é que, se decidirmos fechar portas para reduzir as superfícies de ataque, o Active Directory deixará de funcionar corretamente.
Caminho para o controlador de domínio
A premissa aqui está alinhada com a filosofia de supor violação, que implica que um agente de ameaças já pode ter acesso não autorizado aos seus sistemas ou rede, embora possivelmente com privilégios de nível inferior. Por exemplo, isso pode ser o comprometimento de uma conta de usuário via phishing isso pode, por sua vez, levar ao comprometimento do e-mail comercial (BEC). Isso também implicará que o agente da ameaça provavelmente está tentando acessar uma conta mais privilegiada e, posteriormente, um sistema privilegiado, como o controlador de domínio.
Vejamos um fluxo de ataque hipotético seguindo esse padrão:
O ataque inicial envolve um e-mail de phishing para um funcionário. Esse ataque de phishing contém um link para um login falso do Office 365 OneDrive, pelo qual o funcionário se apaixona. Em conjunto com a execução de javascript e, em alguns casos, com a vulnerabilidade, esse link executa automaticamente um malware que usa somente memória, aproveitando o Windows Powershell. Isso então leva a um backdoor reverso de comando e controle (C&C) do shell do laptop Windows do usuário comprometido de volta ao atacante. Este é o ponto de partida para este artigo 'presumir violação'premissa.
O ataque até esse estágio será principalmente automatizado, então o atacante provavelmente receberá uma notificação de C&C sobre um novo shell e, portanto, sobre uma nova máquina comprometida. Eles também ignorarão principalmente todos os detalhes do sistema comprometido, como contas de usuário, privilégios e acesso a recursos de rede. É aqui que o ATT&CK Fase de descoberta é importante para um atacante.
ATT&CK: Descoberta
Qual é a primeira coisa que você precisa fazer para mudar de um único sistema, seja um terminal de funcionários ou uma carga de trabalho, para um controlador de domínio?
Como diria a ATT&CK na fase de descoberta, “tente descobrir o ambiente”.
Os adversários começam entendendo quem é o usuário do sistema, os processos em execução, os membros de arquivos/diretórios/grupos e as informações da sessão.
Ferramentas como o NMAP para escaneamento de portas são uma opção para ter uma ideia geral de quais serviços estão escutando em máquinas remotas que eles podem explorar. Além disso, o Bloodhound pode ser usado para mapear o ambiente do Active Directory para entender o caminho mais rápido para o controlador de domínio.
Essas ferramentas têm sido usadas em ataques, no entanto, elas têm um desafio inerente. Eles chamam muita atenção para si mesmos como ferramentas de terceiros que geram tráfego. Eles são falantes e um tanto evidentes, o que significa que podem ser detectados pelos sistemas de segurança.
Os atacantes são melhor atendidos simplesmente “vivendo fora da terra” quando têm acesso a um endpoint ou a uma carga de trabalho unida ao domínio. Dessa forma, eles usam ferramentas que são nativas do endpoint e não geram nenhum ruído na rede.
Os atacantes podem começar com comandos CLI básicos que muitos de nós conhecemos como uma maneira fácil e discreta de entender onde estão e o que podem fazer a seguir.
Em uma máquina cliente associada a um domínio, comandos como whoami permitirá o descoberta do proprietário ou usuário do sistemae mostre uma saída semelhante à mostrada abaixo.
Isso permite que o invasor crie um perfil de conta do sistema comprometido para ver a que essa conta tem acesso. Uma rápida olhada nos grupos do Active Directory dos quais a máquina faz parte permite que o invasor perceba que o usuário está, por exemplo, na equipe financeira. Eles sabem que provavelmente terão acesso a compartilhamentos de arquivos financeiros para explorar ou podem optar por examinar imediatamente os arquivos na máquina se os dados financeiros são o que eles procuram.
O agente da ameaça também pode usar um comando simples, mas eficaz, como usuários da rede e switches associados, para descobrir o nome do controlador de domínio ao qual sua máquina comprometida está vinculada e a lista de contas de usuário que existem no controlador de domínio.
A partir daqui, há um conjunto claro de detalhes importantes que podem ajudar no caminho até o controlador de domínio.
Outros comandos simples com os quais muitos estão familiarizados são ipconfig /all e netstat -rn para orientar o atacante sobre o gateway padrão e as informações de rede, sub-rede, DNS e DHCP. Eles também podem ver o que é acessível com base na tabela de roteamento. Isso fornece ao atacante informações suficientes para criar um mapa básico das conexões no nível da rede. Eles podem decifrar se a máquina comprometida está ou não na mesma sub-rede do controlador de domínio ou do servidor DNS. Por esse motivo, é imperativo ter um abordagem de microssegmentação para o qual a segurança é dependente da carga de trabalho em vez de depender da rede, mesmo em uma arquitetura de rede plana. Segurança que acompanha a carga de trabalho como um controlador de domínio, independentemente da sub-rede ou localização.
Eles também podem decifrar sub-redes e rotas adicionais e seus gateways correspondentes e corroborar essas informações de roteamento com detalhes de DNS reverso de, por exemplo, nomes de servidores de compartilhamento de rede.
A maioria das organizações usa compartilhamentos de rede para funcionários da mesma equipe compartilharem e, às vezes, arquivarem informações. Os agentes de ameaças podem aproveitar os detalhes do compartilhamento de rede do Windows a partir de utilitários integrados, como uso líquido para localizar servidores de arquivos ou até mesmo controladores de domínio. Eles também podem usar essas informações combinadas com qualquer conta comprometida ou escalada para acessar compartilhamentos de rede ocultos do Windows, como ADMINISTRANDO $ ou C$. Eles podem ser usados para facilitar a propagação de malware para outras máquinas pela rede SMB local ou por meio de uma conexão VPN de acesso remoto válida conectada a uma rede SMB.
Com essas informações, agora podemos ver a quais compartilhamentos e servidores temos acesso no Windows, abaixo. Quando o atacante tiver um pouco mais de informações sobre o sistema comprometido sob seu controle, ele poderá formular o próximo plano de ação.
Neste exemplo, o usuário é administrador local do laptop, tem um adaptador VPN na lista de NICs e um aplicativo VPN correspondente, mas não tem nenhum acesso de administrador de domínio. Como o objetivo principal é obter acesso ao controlador de domínio, o atacante tem algumas opções, como tentar aumentar os privilégios que podem ser usados para movimentos laterais. Se não houver outras contas presentes no sistema para as quais os privilégios possam ser aumentados, provavelmente eles precisarão tentar obter essa conta. Eles poderiam aproveitar a autenticidade da conta e da máquina comprometidas para enviar ataques de phishing ainda mais direcionados dentro do domínio de e-mail da organização. Eles também podem causar uma falha artificial no sistema de destino para forçar um caso de suporte de TI, o que provavelmente significará uma sessão de ajuda remota com um administrador de TI que provavelmente “funcionará como administrador” na máquina infectada. Os agentes de ameaças tendem a ser determinados e pacientes e normalmente fazem o que for preciso para conseguir o que desejam.
É importante observar que, até o momento, nem usamos recursos nativos mais poderosos, como o PowerShell ou o WMI. Isso serve para apontar deliberadamente a quantidade de informações que ainda podem ser obtidas em sistemas operacionais legados e modernos. Por exemplo, o invasor ainda pode testar a possibilidade de acesso remoto nativo usando uma ferramenta do sistema como o PowerShell para ver quais máquinas eles acessam remotamente para ajudar na movimentação lateral e na rotação.
Os recursos de controle remoto do Powershell oferecem mais uma via de descoberta e recursos de movimento lateral com comandos como Enter-PSSession e vários outros cmdlets que podem executar o Nome do computador parâmetro. O primeiro utilizando WinRM (HTTP 5985 e HTTPS 5986) e o segundo o RPC mais onipresente.
Entendemos a importância dos controladores de domínio, sabemos que ocorreu uma intrusão e agora entendemos melhor como os invasores podem usar comandos CLI simples e as importantes técnicas de viver fora da terra (que não gerarão ruído em seu endpoint ou ferramentas de segurança de rede verá) para obter uma visão geral da terra e descobrir onde eles estão em um ambiente.
Nosso próximo post examinará o movimento lateral que os invasores exibem após a descoberta, para chegar ao controlador de domínio.
