امنیت Active Directory مقاله شماره 103

امنیت Active Directory

چرا AD یک هدف خوب برای حملات است؟

• در دسترس بودن منابع: کافیست attacker به یک کلاینت یا سرور آسیب‌پذیر در AD متصل شود تا اطلاعات مفیدی از منابع شبکه برای نفوذ را پیدا کند.
• طراحی AD برای دسترسی: براساس نوع طراحی، دیتابیس AD همه‌ چیز را برای تمامی کاربران متصل به دامنه به نمایش میگذارد و همین امر به همه کاربران اجازه میدهد تا براحتی منابع حساس سیستم را پیدا کنند.
• عدم امکان غیرفعال نمودن سرچ: امکان غیرفعال کردن قابلیت جستجو در AD وجود ندارد.
• عدم امکان tracking Search: نمیتوان کاربران را درحال انجام جستجوها شناسایی کرد.
• میزان بالای استفاده: از هر 10 شرکت در جهان، 9 مورد از AD کمک میگیرند و منابع داخلی خود را تحت کنترل دارند.
• غفلت از امنیت AD: اکثرا فکر میکنند با حفظ امنیت برنامه‌ها و سرورها، میتوانند امنیت را حفظ کنند اما در عمل، AD که اساساً در میان دارایی‌ها جزء ارزشمندترین‌هاست، بدون حفاظ مناسب باقی می‌ماند.

آناتومی حمله به AD

به محض دسترسی به یک domain-connected endpoint مهاجمان اقدام به شناسایی منابع سازمانی از طریق اکتیو دایرکتوری میکنند.

نمونه چند APT

چک لیست چند اشتباه رایج در پیکربندی AD

• رمزهای قابل مشاهده در Group Policy Preferences

توضیح حمله: مدیران شبکه از Group Policy Preferences (GPPs) برای تنظیم local administrator accounts، schedule tasks و Mount کردن درایوهای شبکه با Credentials مشخص‌شده استفاده میکنند. مهاجمان به فایلهای XML در  SYSVOLدسترسی پیدا کرده و Credentials ذخیره‌ شده در GPP را استخراج میکنند.

تهدید احتمالی: مهاجمان به حسابهایی دسترسی می‌یابند که credentials آنها را از GPP استخراج کرده‌اند. این حسابها اغلب دارایadministrator user rights  در هر اندپوینت هستند.

• دسترسی به ACL با امتیاز کم در AdminSDHolder

توضیح حمله: مهاجمان از ACLهای AdminSDHolder سوءاستفاده میکنند، به این صورت که یک کاربر با دسترسی پایین را به بخش AdminSDHolder با دسترسی کامل یا دسترسی نوشتن اضافه میکنند. حالا این کاربر بدون داشتن امتیازات بالا، میتواند خود یا دیگران را به گروههای قدرتمند مانند مدیران دامنه اضافه کند.

تهدید احتمالی: مهاجمانی که این ویژگی را فعال کرده و آنرا تغییر میدهند، دسترسی‌های مخفی مدیر را روی کنترل‌ کننده دامنه باقی میگذارند، آن هم بدون نیاز به استفاده از حسابهای دامنه.

• شناسه امنیتی (SID) پنهان و امنیت Active Directory

توضیح حمله: مهاجمان ازSID History  برای کسب مجوزهای حسابهای با سطح دسترسی بالا استفاده میبرند، آن هم بدون اینکه نشانه‌ای از خود در additional group membership  باقی بگذارند.

تهدید احتمالی: استفاده از SID نشان‌دهنده‌ تلاشی برای پنهان کردن عضویت در گروههای با دسترسی بالا (مثلاً مدیران دامنه) در یک حساب با دسترسی کم و پنهان کردن domain backdoor پس از بهره‌برداری است.

• تیکت طلایی

توضیح حمله: مهاجمان با داشتن کلید بلندمدت حساب krbtgt یک تیکت ورود (TGT) با سطح دسترسی دلخواه خود را جعل میکنند. این تیکت حاوی نام کاربری ساختگی با عضویت در دامنه (یا هر مورد دیگری که مهاجمان انتخاب کنند) است. امنیت Active Directory به همین بخش بستگی دارد.

تهدید احتمالی: مهاجمان دسترسی به هر سرویس یا دستگاه در شبکه را کسب کرده و از این سطح دسترسی در هر جایی استفاده میکنند. این دسترسی‌ها تا زمانیکه مدیران حسابkrbtgt  را مجددا تنظیم نکنند، باقی می‌مانند.

• در پشتی برای تکرار دامنه و امنیت Active Directory

توضیح حمله: اگر یک کاربر با سطح دسترسی پایین به  domain replication objectاضافه شود، مهاجم میتواند بدون داشتن سطح دسترسی بالا به تمام داده‌های حساس دامنه (مانند هش‌های کاربران در دامنه) دسترسی پیدا کند. از آنجاکه برخی از سرویسهای دامنه نیاز به قابلیت‌هایdomain replication  دارند، باید مجوزهای replication  به اکتیو دایرکتوری (AD) اختصاص داده شود.

تهدید احتمالی: مهاجمان دسترسی کامل به کل دیتابیس دامنه شرکت را بدست می‌آورند.

• اجازه دسترسی ناشناس به LDAP

توضیح حمله: دستگاههای غیرمدیریتی بدون احراز هویت به AD درخواست میزنند و اطلاعاتی درباره محیط دامنه جمع‌آوری میکنند.

تهدید احتمالی: مهاجمان قادر به مشاهده ساختار کامل دایرکتوری و مجوزها از طریق یک کاربر و رایانه غیرمعتبر با اتصال شبکه هستند.

• شناسایی کاربران با امتیاز بالا  (Power User Enumeration)

توضیح حمله: کاربران احراز هویت ‌شده میتوانند هر Object در دامنه را شناسایی کنند. شناسایی کاربران با پسوردهای دائمی، کاربرانی با دسترسی‌ بالا در دامنه را آشکار میکند.

تهدید احتمالی: با دسترسی به این Credentials، مهاجمان میتوانند به دسترسی بالایی در شبکه دست یابند، امتیازاتی که بدون محدودیت زمانی باقی می‌مانند.

• تیکت نقره‌ای و امنیت Active Directory

توضیح حمله: کاربران تیکت‌های خدماتی خاصی را درخواست میکنند که با کلید بلندمدت حساب خدمات رمزنگاری شده‌اند. مهاجمان تیکت‌های خدماتی را جمع‌آوری کرده و تلاش میکنند تا حملات جستجوی محلی (brute-force) را بر روی کلید بلندمدت انجام دهند.

تهدید احتمالی: مهاجمان به اندپوینت‌هایی که خدمات حساب را اجرا میکنند، دست می‌یابند.

• ورود به DSRM فعال شده

توضیح حمله: مهاجمان DSRM (وضعیت راه‌اندازی خاصی برای تعمیر یا بازیابی AD در زمانیکه خدمات دایرکتوری دچار مشکل هستند) را فعال کرده و تغییراتی در آن ایجاد میکنند تا دسترسی‌های مخفی مدیریتی را از طریق یک درب پشتی درdomain controller  باقی بگذارند، بدون نیاز به استفاده از هیچ حساب دامنه‌ای.

تهدید احتمالی: مهاجمان به کنترل ‌کننده‌های دامنه‌ سازمان شما دست می‌یابند.

• عبور از Local Administrator

توضیح حمله: مهاجمانlocal administrator credentials  را از یک کامپیوتر محلی در شبکه سرقت میکنند. بسیاری از شرکتها از نرم‌افزارهای imaging استفاده میکنند، بنابراین پسوردهای مدیر محلی معمولاً در کل سازمان یکسان است.

تهدید احتمالی: مهاجمان با کسبlocal administrator credentials در یکدستگاه، به ‌سرعت به دیگر دستگاهها نفوذ کرده و به تمام نقاط انتهایی در شبکه دسترسی پیدا میکنند. این امر یک تهدید مهم برای امنیت Active Directory است.

symantec endpoint defnce for active directory

امنیت Active Directory