Assustador quando não se vê: um olhar dentro do domínio
Este artigo explora a importância de auditar domínios para segurança cibernética, detalhando como invasores exploram vulnerabilidades e como defensores podem usar ferramentas para identificar e mitigar riscos. O domínio é o coração da infraestrutura, e controlá-lo significa controlar quase tudo.
MundiX News·10 de maio de 2026·12 min de leitura·👁 16 views
128K+
Cobertura em 30 dias
Positive Technologies
4,21
Avaliação do empregador
648,05
Classificação
117 982
Assinantes
Assinar
ptsecurity
Há 21 minutos
Assustador quando não se vê: um olhar dentro do domínio
12 min
411
Blog da empresa Positive Technologies
Segurança da informação
*
Gerenciamento de produtos
*
Pesquisa e previsões em TI
*
Estudo de caso
Olá, Habr! Meu nome é Danil Zaripov, e trabalho com expertise em produtos na Positive Technologies. Meu colega Kirill Maslov, nosso especialista em Asset Management, me ajudou a preparar este artigo. Decidimos não pegar o caminho mais fácil e escolhemos um tema que a maioria de vocês conhece bem. Parece que não há nada de novo a dizer sobre domínios, mesmo do ponto de vista da segurança?
Para um invasor, a tomada de um domínio é, na verdade, uma vitória. Ao obter controle sobre o controlador de domínio, o invasor ganha acesso a todas as contas, computadores, políticas de grupo e relações de confiança, e então é uma questão de técnica: encontrar as contas de contadores e executivos de alto nível, mudar para suas máquinas, ler e-mails, copiar documentos. Essas são as consequências mais inofensivas. Os invasores podem obter acesso a transações financeiras e sacar dinheiro, ou roubar o know-how da empresa, apenas capturando as credenciais com os privilégios necessários para isso. Para os negócios, isso pode se transformar em um desastre. Para os defensores, este não é apenas mais um servidor, mas a fonte mais importante de dados sobre a infraestrutura, através da qual você pode ver a maior parte dos ativos da empresa, detectar vulnerabilidades, encontrar configurações inseguras e até mesmo calcular o Shadow IT.
No entanto, como muitas vezes acontece em segurança da informação, o mais familiar esconde muitos detalhes. Vamos descobrir!
A maioria de vocês provavelmente trabalha com domínios e seus controladores todos os dias e sabe sobre eles, se não tudo, então muito. Mas para a integridade do quadro e para que todos se movam no mesmo contexto, vamos começar com coisas aparentemente óbvias - sobre o que será discutido e por que tudo isso é necessário.
Então, um domínio é uma estrutura lógica que combina muitos componentes da infraestrutura de TI e cobre quase toda a parte de TI da organização. Muitos servidores, estações de trabalho de usuários e serviços vivem dentro de um determinado domínio ou interagem com ele. Mas também existem servidores, por exemplo, em unix-ax ou estações de trabalho em MacOS, que não são contabilizados no domínio. Como resultado, obtemos uma situação em que o controlador de domínio não sabe sobre todas as contas e nem todos os computadores.
Controladores de domínio são servidores físicos ou virtuais que gerenciam diretamente o domínio. Eles armazenam um banco de dados, processam solicitações de autenticação e autorização, monitoram a integridade de toda a construção. Pode haver vários controladores - para tolerância a falhas ou para delinear as áreas de responsabilidade entre diferentes domínios.
Quais dados o domínio armazena? Aqui está a base que você precisa ter em mente:
Contas de usuário.
Logins, hashes de senha, atributos, associação a grupos.
Computadores.
Cada estação de trabalho e servidor que faz parte do domínio tem sua própria conta lá.
Grupos.
Administradores, usuários, operadores - esta é a base para o controle de acesso.
Políticas de grupo (Group Policy Objects, GPO).
Determinam como os computadores e usuários são configurados: de permissões a registro e direitos para executar programas individuais.
Relações de confiança.
Os domínios podem confiar uns nos outros, tanto dentro de uma floresta - combinando domínios com um esquema comum, configuração e catálogo global - quanto entre florestas diferentes.
Claro, muito mais informações são armazenadas no domínio, e são gerenciadas de maneiras diferentes. Mas o que foi listado é suficiente para entender o principal: quem controla o domínio, controla tudo.
O olhar do invasor: vetores de ataque e ferramentas
Para um invasor, um domínio não é apenas um repositório de informações que precisa ser capturado. São também serviços de trabalho que podem ser usados diretamente durante o ataque. Começando com a verificação banal da existência de contas e terminando com a força bruta completa de senhas (a menos que isso seja proibido pelas configurações, é claro). Os serviços SMB, Exchange, servidores de terminal - quaisquer ferramentas disponíveis que permitam avançar - entram em ação. E a cada passo, o invasor está cada vez mais perto do objetivo desejado - o controle total sobre o domínio. Vamos falar sobre como isso pode ser alcançado com técnicas e ferramentas.
Direções populares e bilhetes infelizes
Há um grande número de vetores de ataque, alguns dos mais comuns são:
Kerberoasting - o invasor solicita tickets de serviço e os quebra offline. Comum em 40% dos ataques ao Active Directory.
Pass-the-Hash/Pass-the-Ticket - roubo de hashes ou tickets Kerberos para imitar um usuário sem saber a senha. De acordo com nossos dados, é usado em 50% dos casos de movimento lateral.
Força bruta de senha - a força bruta familiar para todos, ou seja, a seleção em massa de senhas comuns para muitas contas. Essa técnica, que parece ter sido usada há muito tempo, leva à obtenção de acesso inicial em 30% dos casos.
DCSync/DCSshadow - imitação da replicação do controlador de domínio para roubar dados ou fazer alterações. Os invasores usam esse método em 20% dos ataques avançados.
Usando ransomware via Active Directory - distribuição via políticas de grupo (GPO) ou SYSVOL. Cerca de 70% dos ataques usando este malware passam por este vetor para aumentar os privilégios e se espalhar por toda a infraestrutura.
Toneladas de literatura e artigos foram escritos sobre cada um desses vetores. Além disso, recursos especializados em pentesting dedicam seções separadas a cada um - com uma descrição de como atacar, o que isso leva e o que pode ser obtido como resultado.
As ataques aos tickets Kerberos merecem uma discussão separada. Os mais famosos deles são os já mencionados Silver Ticket e Golden Ticket.
O Silver Ticket é considerado menos barulhento: ele precisa do hash NT da conta do serviço, após o qual o invasor falsifica o ticket e tenta ir mais longe. É mais difícil obter o Golden Ticket - o hash NT da conta KRBTGT é necessário. Mas se o invasor apreendeu o bilhete de ouro, isso significa que ele já comprometeu seu controlador de domínio e pode andar livremente pela infraestrutura. E sim, se isso acontecer, não basta apenas alterar a senha do KRBTGT - a iteração anterior da senha ainda será legítima. Isso é feito especificamente para que os serviços não desconectem os usuários, e os tickets ainda vivam por algum tempo, então você precisa alterar a senha duas vezes seguidas em um curto período de tempo. Por exemplo, alterou a senha KRBTGT uma vez, passaram-se 5 minutos - alterou novamente.
Ataques mais recentes - Diamond Ticket e Sapphire Ticket - já não exigem a emissão de um novo ticket e funcionam através da falsificação do existente. É verdade que, para decifrar seus dados, você ainda precisa de hashes NT da conta KRBTGT. Existem nuances suficientes lá, mas a essência é clara: este tipo de ataque está em constante evolução, e você precisa acompanhar todas as mudanças.
Utilitários legítimos nas mãos de invasores
Para combinar com os vetores, há também muitas ferramentas para implementar esses ataques. Existem utilitários totalmente legítimos - por exemplo, RSAT, que é instalado no Windows Professional ou Enterprise em apenas alguns cliques, ou o conjunto Sysinternals, cujos utilitários são assinados por certificados da Microsoft.
Colete
Estude todos eles!
A maioria dos administradores os usa e é por isso que os invasores os amam tanto:
uma ferramenta legítima não desperta suspeitas
. Mesmo uma ferramenta tão específica como o ADExplorer pode ser facilmente convertida para o formato BloodHound e usada para fins francamente maliciosos.
No mundo ideal, todos os envolvidos devem conhecer esses utilitários, bem como monitorar as atualizações (ou ler pelo menos alguns artigos sobre cada um). Se você é um profissional de segurança, certifique-se de executá-los. Esse teste ajudará a encontrar buracos em sua proteção e fechá-los antes que os invasores cheguem até eles.
O olhar dos defensores: inventário, vulnerabilidades e Shadow IT
Como já
disssemos
nos artigos anteriores do nosso ciclo: é impossível proteger o que você nem suspeita que existe. Os dados dentro do domínio nos dão visibilidade de uma grande parte da infraestrutura da empresa - usuários, computadores, grupos e as conexões entre eles. Graças a isso, obtemos uma estrutura na qual tudo o mais é então sobreposto.
Uma história separada é o inventário. Com a ajuda de dados do domínio, vemos todos os usuários, todos os computadores e todos os grupos. Mas o principal é que, através do domínio, você pode detectar o chamado Shadow IT. São nós de rede que estão ocultos do monitoramento regular: máquinas de teste esquecidas, dispositivos conectados ao domínio sem o conhecimento do departamento de TI, bem como contas de computadores que foram desligados e cancelados há muito tempo, que (embora estejam nesse status) por alguma razão ainda estão incluídos em grupos privilegiados. Tais ativos “mortos” são de particular interesse para os invasores, porque ninguém os monitora. Um invasor pode capturar essa conta e entrar na rede sem ser notado, o que significa que nós, como defensores, precisamos encontrá-los primeiro.
Como obter dados do domínio e o que fazer com eles
Então, descobrimos quem e por que precisa do domínio - os invasores para capturar o sistema e os defensores para coletar informações sobre ele. Claro, nós, como defensores, estamos interessados no segundo, mas como podemos obter todos esses dados? Vamos descobrir usando o exemplo de nossos produtos.
Dois perfis para auditoria de domínio no MaxPatrol VM
No
MaxPatrol VM
dois perfis com diferentes tarefas são fornecidos para a auditoria de domínio. O primeiro é chamado Windows DC Audit. Com sua ajuda, você pode coletar todas as informações sobre o domínio: usuários, grupos, computadores e assim por diante. Além disso, uma auditoria do próprio controlador de domínio é realizada - aprendemos sobre o software instalado nele, suas versões, configurações, parâmetros. Este perfil fornece a imagem mais completa e permite, entre outras coisas, identificar as vulnerabilidades do próprio controlador. Mas a tarefa com este perfil levará mais tempo, porque mais informações são coletadas.
O segundo perfil é chamado Microsoft Active Directory Audit. Ele coleta informações apenas sobre o domínio via protocolo LDAP. Recebemos os mesmos usuários, grupos, computadores, mas não aprendemos nada sobre o próprio controlador de domínio - seu sistema operacional, parâmetros e assim por diante. Este perfil é recomendado para uso quando você tem uma instalação bastante grande e precisa reduzir o tempo de auditoria. Ou você pode dividir a tarefa de digitalização em várias etapas: primeiro, coletar dados sobre o domínio por meio deste perfil e, em seguida, digitalizar separadamente os controladores com um perfil normal para auditoria de sistemas Windows.
Controlando configurações inseguras com MaxPatrol HCC
O módulo
MaxPatrol HCC
, por sua vez, olha mais para as configurações e parâmetros de operação dos componentes. O PT Essentials Windows Server padrão ajuda a detectar ativos na rede que possuem configurações inseguras. Essas configurações também podem ser usadas por um invasor para promover ou comprometer o controlador de domínio. E o MaxPatrol HCC não apenas encontra problemas - ele fornece recomendações para corrigi-los e permite que você rastreie se essas correções foram aplicadas.
Enriquecendo eventos com dados usando MaxPatrol SIEM
Mas o gerenciamento de vulnerabilidades e o controle de configurações são apenas parte do trabalho. Os dados do domínio também podem ser úteis na investigação de incidentes.
MaxPatrol SIEM
também sabe usar informações do Active Directory com a ajuda de listas de tabelas Asset Grid, para as quais uma solicitação é passada do MaxPatrol VM. Essas listas são preenchidas automaticamente com dados sobre ativos e atualizadas regularmente, e então usadas em regras de correlação e enriquecimento.
Por exemplo, você pode criar uma lista de contas de administrador importantes para que as regras de correlação reajam apenas às alterações nelas, ou adicionar informações sobre cargos e departamentos de usuários a todos os eventos. Graças a isso, o disparo sobre o lançamento do AD Explorer pelo administrador e pelo contador será avaliado de forma diferente - com um nível diferente de criticidade e atenção.
Modelando ataques no MaxPatrol Carbon
Os dados do domínio são úteis não apenas para detectar problemas, mas também para entender como um invasor pode usar esses problemas.
MaxPatrol Carbon
usa informações sobre ativos e privilégios de usuário para modelar caminhos de ataque. Por exemplo, com base nos dados coletados, o sistema inteligente constrói uma das rotas possíveis: com a ajuda da conta de suporte, usando o vetor Kerberoasting, você pode obter acesso ao administrador do domínio. Além disso, o MaxPatrol Carbon não apenas relata a existência de tal caminho - ele explica o que é esse caminho, quão perigoso é e como removê-lo para que o hacker não possa chegar ao objetivo e realizar o que foi planejado.
Auditoria de domínios usando o exemplo do MaxPatrol VM
Por onde começar na prática? Você precisa criar uma conta que tenha direitos de leitura do domínio. A tarefa é trivial, qualquer administrador sabe como fazer isso. Depois de criar, adicionamos esta conta na interface do MaxPatrol VM à lista de contas. Em seguida, criamos uma tarefa para coletar dados com o perfil desejado, especificamos a conta criada, alteramos a porta, se necessário, salvamos e iniciamos a tarefa de auditoria. Após a conclusão da tarefa, veremos todos os dados que recebemos do domínio: usuários, computadores, grupos e assim por diante.
A primeira coisa que você precisa olhar após digitalizar o Active Directory são os domínios confiáveis. Eles podem ser tanto da floresta como um todo quanto de domínios individuais. Portanto, obtemos dados sobre a própria floresta, os domínios confiáveis da floresta e, em seguida, os domínios confiáveis de todos os domínios. Em seguida, anexamos informações sobre todos os ativos e verificamos qual domínio confiável conhecemos e qual não.
Exemplo de detecção de domínios confiáveis em uma infraestrutura de teste. Um deles acabou por não ser digitalizado - em um ambiente de laboratório, este é um problema, pois tudo deve ser perfeito lá.
Após verificar os domínios confiáveis, você pode verificar todos os controladores especificados neles. Desta forma, você pode verificar novamente se não perdemos nada nos segmentos fechados da rede ou, possivelmente, simplesmente não configuramos totalmente a descoberta de host.
O resultado da comparação de dados do Active Directory com ativos no MaxPatrol VM.
Por exemplo, em nossa infraestrutura de laboratório, descobriu-se que um dos controladores de domínio - a saber, region DC01 - existe no AD, mas não há ativos com esse nome no VM. Este é um motivo para esclarecer com os especialistas de TI como isso aconteceu: este controlador está realmente funcionando ou é hora de limpar o AD de entradas desatualizadas.
Como podemos obter todas as máquinas do Active Directory, a próxima etapa será verificar os servidores especificados nos domínios. Da mesma forma, filtramos tudo por tipo “servidor” e executamos a anexação de dados várias vezes. Primeiro, adicionamos todos os ativos por nome de domínio totalmente qualificado (FQDN) e, em seguida, do AD de volta todos os grupos onde essa conta existe. Como resultado, obtemos as informações mais completas para entender que tipo de servidor é, para que serve e quais funções ele desempenha na infraestrutura.
A pergunta mais popular sobre auditoria do Active Directory
Durante a implementação e comunicação com os clientes, ouvimos regularmente a mesma pergunta que surge para muitos - se é necessário digitalizar domínios confiáveis (ou, mais precisamente, se é possível não digitalizá-los).
Como isso geralmente acontece: conduzimos a descoberta de hosts e vemos que há mais controladores de domínio do que o originalmente previsto. Começamos a descobrir - acontece que esta é uma subsidiária e, na opinião do cliente, digitalizar sua infraestrutura de TI é de alguma forma errado. As razões formais podem ser diferentes: não concordamos, não somos nós, deixe-os responder por sua própria segurança.
Estamos confiantes de que, se houver relações de confiança estabelecidas entre seus domínios e domínios externos, você deve digitalizar esses domínios.
Conclusão
Começamos este texto com uma ideia simples: é impossível proteger o que você não conhece. Durante o tempo que analisamos a estrutura do domínio, os vetores de ataque aos domínios e as ferramentas de auditoria, essa ideia, esperamos, tornou-se ainda mais óbvia. O domínio é realmente o coração da infraestrutura, e quem o controla, controla quase tudo.
Para especialistas em segurança da informação, a auditoria regular de controladores oferece várias vantagens críticas de uma só vez. Primeiro, você finalmente vê todos os computadores, contas, grupos e relações de confiança inseridos no domínio e, ao mesmo tempo, encontra ativos esquecidos. Em segundo lugar, a velocidade de resposta: quando o incidente ainda acontece, os dados atuais sobre o domínio permitem que você entenda rapidamente qual ativo foi atacado, a quem ele pertence e quais meios de proteção estão nele. Terceiro, a capacidade de fortalecer a proteção com antecedência: encontrar vulnerabilidades e eliminá-las, corrigir configurações inseguras, remover privilégios excessivos dos usuários, fechando assim as deficiências da infraestrutura antes que um invasor as descubra.
Para entender o tópico mais profundamente, pegue o link para o
guia especializado
para auditoria de ativos. Ele diz passo a passo e sem água sobre como construir o processo de gerenciamento de ativos para controlar e gerenciar toda a área de ataque potencial e estar um passo à frente do invasor. E no próximo artigo, analisaremos em detalhes os sistemas de virtualização - dê uma olhada, o material já está sendo preparado!
Tags:
captura de domínio
controlador de domínio
kerberoasting
krbtgt
rsat
shadow it
max patrol vm
hcc
siem
carbon
Hubs:
Blog da empresa Positive Technologies
Segurança da informação
Gerenciamento de produtos
Pesquisa e previsões em TI
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
128K+
Cobertura em 30 dias
Positive Technologies
4,21
Avaliação do empregador
648,05
Classificação
117 982
Assinantes
Assinar
ptsecurity
Há 21 minutos
Assustador quando não se vê: um olhar dentro do domínio
12 min
411
Blog da empresa Positive Technologies
Segurança da informação
*
Gerenciamento de produtos
*
Pesquisa e previsões em TI
*
Estudo de caso
Olá, Habr! Meu nome é Danil Zaripov, e trabalho com expertise em produtos na Positive Technologies. Meu colega Kirill Maslov, nosso especialista em Asset Management, me ajudou a preparar este artigo. Decidimos não pegar o caminho mais fácil e escolhemos um tema que a maioria de vocês conhece bem. Parece que não há nada de novo a dizer sobre domínios, mesmo do ponto de vista da segurança?
Para um invasor, a tomada de um domínio é, na verdade, uma vitória. Ao obter controle sobre o controlador de domínio, o invasor ganha acesso a todas as contas, computadores, políticas de grupo e relações de confiança, e então é uma questão de técnica: encontrar as contas de contadores e executivos de alto nível, mudar para suas máquinas, ler e-mails, copiar documentos. Essas são as consequências mais inofensivas. Os invasores podem obter acesso a transações financeiras e sacar dinheiro, ou roubar o know-how da empresa, apenas capturando as credenciais com os privilégios necessários para isso. Para os negócios, isso pode se transformar em um desastre. Para os defensores, este não é apenas mais um servidor, mas a fonte mais importante de dados sobre a infraestrutura, através da qual você pode ver a maior parte dos ativos da empresa, detectar vulnerabilidades, encontrar configurações inseguras e até mesmo calcular o Shadow IT.
No entanto, como muitas vezes acontece em segurança da informação, o mais familiar esconde muitos detalhes. Vamos descobrir!
A maioria de vocês provavelmente trabalha com domínios e seus controladores todos os dias e sabe sobre eles, se não tudo, então muito. Mas para a integridade do quadro e para que todos se movam no mesmo contexto, vamos começar com coisas aparentemente óbvias - sobre o que será discutido e por que tudo isso é necessário.
Então, um domínio é uma estrutura lógica que combina muitos componentes da infraestrutura de TI e cobre quase toda a parte de TI da organização. Muitos servidores, estações de trabalho de usuários e serviços vivem dentro de um determinado domínio ou interagem com ele. Mas também existem servidores, por exemplo, em unix-ax ou estações de trabalho em MacOS, que não são contabilizados no domínio. Como resultado, obtemos uma situação em que o controlador de domínio não sabe sobre todas as contas e nem todos os computadores.
Controladores de domínio são servidores físicos ou virtuais que gerenciam diretamente o domínio. Eles armazenam um banco de dados, processam solicitações de autenticação e autorização, monitoram a integridade de toda a construção. Pode haver vários controladores - para tolerância a falhas ou para delinear as áreas de responsabilidade entre diferentes domínios.
Quais dados o domínio armazena? Aqui está a base que você precisa ter em mente:
Contas de usuário.
Logins, hashes de senha, atributos, associação a grupos.
Computadores.
Cada estação de trabalho e servidor que faz parte do domínio tem sua própria conta lá.
Grupos.
Administradores, usuários, operadores - esta é a base para o controle de acesso.
Políticas de grupo (Group Policy Objects, GPO).
Determinam como os computadores e usuários são configurados: de permissões a registro e direitos para executar programas individuais.
Relações de confiança.
Os domínios podem confiar uns nos outros, tanto dentro de uma floresta - combinando domínios com um esquema comum, configuração e catálogo global - quanto entre florestas diferentes.
Claro, muito mais informações são armazenadas no domínio, e são gerenciadas de maneiras diferentes. Mas o que foi listado é suficiente para entender o principal: quem controla o domínio, controla tudo.
O olhar do invasor: vetores de ataque e ferramentas
Para um invasor, um domínio não é apenas um repositório de informações que precisa ser capturado. São também serviços de trabalho que podem ser usados diretamente durante o ataque. Começando com a verificação banal da existência de contas e terminando com a força bruta completa de senhas (a menos que isso seja proibido pelas configurações, é claro). Os serviços SMB, Exchange, servidores de terminal - quaisquer ferramentas disponíveis que permitam avançar - entram em ação. E a cada passo, o invasor está cada vez mais perto do objetivo desejado - o controle total sobre o domínio. Vamos falar sobre como isso pode ser alcançado com técnicas e ferramentas.
Direções populares e bilhetes infelizes
Há um grande número de vetores de ataque, alguns dos mais comuns são:
Kerberoasting - o invasor solicita tickets de serviço e os quebra offline. Comum em 40% dos ataques ao Active Directory.
Pass-the-Hash/Pass-the-Ticket - roubo de hashes ou tickets Kerberos para imitar um usuário sem saber a senha. De acordo com nossos dados, é usado em 50% dos casos de movimento lateral.
Força bruta de senha - a força bruta familiar para todos, ou seja, a seleção em massa de senhas comuns para muitas contas. Essa técnica, que parece ter sido usada há muito tempo, leva à obtenção de acesso inicial em 30% dos casos.
DCSync/DCSshadow - imitação da replicação do controlador de domínio para roubar dados ou fazer alterações. Os invasores usam esse método em 20% dos ataques avançados.
Usando ransomware via Active Directory - distribuição via políticas de grupo (GPO) ou SYSVOL. Cerca de 70% dos ataques usando este malware passam por este vetor para aumentar os privilégios e se espalhar por toda a infraestrutura.
Toneladas de literatura e artigos foram escritos sobre cada um desses vetores. Além disso, recursos especializados em pentesting dedicam seções separadas a cada um - com uma descrição de como atacar, o que isso leva e o que pode ser obtido como resultado.
As ataques aos tickets Kerberos merecem uma discussão separada. Os mais famosos deles são os já mencionados Silver Ticket e Golden Ticket.
O Silver Ticket é considerado menos barulhento: ele precisa do hash NT da conta do serviço, após o qual o invasor falsifica o ticket e tenta ir mais longe. É mais difícil obter o Golden Ticket - o hash NT da conta KRBTGT é necessário. Mas se o invasor apreendeu o bilhete de ouro, isso significa que ele já comprometeu seu controlador de domínio e pode andar livremente pela infraestrutura. E sim, se isso acontecer, não basta apenas alterar a senha do KRBTGT - a iteração anterior da senha ainda será legítima. Isso é feito especificamente para que os serviços não desconectem os usuários, e os tickets ainda vivam por algum tempo, então você precisa alterar a senha duas vezes seguidas em um curto período de tempo. Por exemplo, alterou a senha KRBTGT uma vez, passaram-se 5 minutos - alterou novamente.
Ataques mais recentes - Diamond Ticket e Sapphire Ticket - já não exigem a emissão de um novo ticket e funcionam através da falsificação do existente. É verdade que, para decifrar seus dados, você ainda precisa de hashes NT da conta KRBTGT. Existem nuances suficientes lá, mas a essência é clara: este tipo de ataque está em constante evolução, e você precisa acompanhar todas as mudanças.
Utilitários legítimos nas mãos de invasores
Para combinar com os vetores, há também muitas ferramentas para implementar esses ataques. Existem utilitários totalmente legítimos - por exemplo, RSAT, que é instalado no Windows Professional ou Enterprise em apenas alguns cliques, ou o conjunto Sysinternals, cujos utilitários são assinados por certificados da Microsoft.
Colete
Estude todos eles!
A maioria dos administradores os usa e é por isso que os invasores os amam tanto:
uma ferramenta legítima não desperta suspeitas
. Mesmo uma ferramenta tão específica como o ADExplorer pode ser facilmente convertida para o formato BloodHound e usada para fins francamente maliciosos.
No mundo ideal, todos os envolvidos devem conhecer esses utilitários, bem como monitorar as atualizações (ou ler pelo menos alguns artigos sobre cada um). Se você é um profissional de segurança, certifique-se de executá-los. Esse teste ajudará a encontrar buracos em sua proteção e fechá-los antes que os invasores cheguem até eles.
O olhar dos defensores: inventário, vulnerabilidades e Shadow IT
Como já
disssemos
nos artigos anteriores do nosso ciclo: é impossível proteger o que você nem suspeita que existe. Os dados dentro do domínio nos dão visibilidade de uma grande parte da infraestrutura da empresa - usuários, computadores, grupos e as conexões entre eles. Graças a isso, obtemos uma estrutura na qual tudo o mais é então sobreposto.
Uma história separada é o inventário. Com a ajuda de dados do domínio, vemos todos os usuários, todos os computadores e todos os grupos. Mas o principal é que, através do domínio, você pode detectar o chamado Shadow IT. São nós de rede que estão ocultos do monitoramento regular: máquinas de teste esquecidas, dispositivos conectados ao domínio sem o conhecimento do departamento de TI, bem como contas de computadores que foram desligados e cancelados há muito tempo, que (embora estejam nesse status) por alguma razão ainda estão incluídos em grupos privilegiados. Tais ativos “mortos” são de particular interesse para os invasores, porque ninguém os monitora. Um invasor pode capturar essa conta e entrar na rede sem ser notado, o que significa que nós, como defensores, precisamos encontrá-los primeiro.
Como obter dados do domínio e o que fazer com eles
Então, descobrimos quem e por que precisa do domínio - os invasores para capturar o sistema e os defensores para coletar informações sobre ele. Claro, nós, como defensores, estamos interessados no segundo, mas como podemos obter todos esses dados? Vamos descobrir usando o exemplo de nossos produtos.
Dois perfis para auditoria de domínio no MaxPatrol VM
No
MaxPatrol VM
dois perfis com diferentes tarefas são fornecidos para a auditoria de domínio. O primeiro é chamado Windows DC Audit. Com sua ajuda, você pode coletar todas as informações sobre o domínio: usuários, grupos, computadores e assim por diante. Além disso, uma auditoria do próprio controlador de domínio é realizada - aprendemos sobre o software instalado nele, suas versões, configurações, parâmetros. Este perfil fornece a imagem mais completa e permite, entre outras coisas, identificar as vulnerabilidades do próprio controlador. Mas a tarefa com este perfil levará mais tempo, porque mais informações são coletadas.
O segundo perfil é chamado Microsoft Active Directory Audit. Ele coleta informações apenas sobre o domínio via protocolo LDAP. Recebemos os mesmos usuários, grupos, computadores, mas não aprendemos nada sobre o próprio controlador de domínio - seu sistema operacional, parâmetros e assim por diante. Este perfil é recomendado para uso quando você tem uma instalação bastante grande e precisa reduzir o tempo de auditoria. Ou você pode dividir a tarefa de digitalização em várias etapas: primeiro, coletar dados sobre o domínio por meio deste perfil e, em seguida, digitalizar separadamente os controladores com um perfil normal para auditoria de sistemas Windows.
Controlando configurações inseguras com MaxPatrol HCC
O módulo
MaxPatrol HCC
, por sua vez, olha mais para as configurações e parâmetros de operação dos componentes. O PT Essentials Windows Server padrão ajuda a detectar ativos na rede que possuem configurações inseguras. Essas configurações também podem ser usadas por um invasor para promover ou comprometer o controlador de domínio. E o MaxPatrol HCC não apenas encontra problemas - ele fornece recomendações para corrigi-los e permite que você rastreie se essas correções foram aplicadas.
Enriquecendo eventos com dados usando MaxPatrol SIEM
Mas o gerenciamento de vulnerabilidades e o controle de configurações são apenas parte do trabalho. Os dados do domínio também podem ser úteis na investigação de incidentes.
MaxPatrol SIEM
também sabe usar informações do Active Directory com a ajuda de listas de tabelas Asset Grid, para as quais uma solicitação é passada do MaxPatrol VM. Essas listas são preenchidas automaticamente com dados sobre ativos e atualizadas regularmente, e então usadas em regras de correlação e enriquecimento.
Por exemplo, você pode criar uma lista de contas de administrador importantes para que as regras de correlação reajam apenas às alterações nelas, ou adicionar informações sobre cargos e departamentos de usuários a todos os eventos. Graças a isso, o disparo sobre o lançamento do AD Explorer pelo administrador e pelo contador será avaliado de forma diferente - com um nível diferente de criticidade e atenção.
Modelando ataques no MaxPatrol Carbon
Os dados do domínio são úteis não apenas para detectar problemas, mas também para entender como um invasor pode usar esses problemas.
MaxPatrol Carbon
usa informações sobre ativos e privilégios de usuário para modelar caminhos de ataque. Por exemplo, com base nos dados coletados, o sistema inteligente constrói uma das rotas possíveis: com a ajuda da conta de suporte, usando o vetor Kerberoasting, você pode obter acesso ao administrador do domínio. Além disso, o MaxPatrol Carbon não apenas relata a existência de tal caminho - ele explica o que é esse caminho, quão perigoso é e como removê-lo para que o hacker não possa chegar ao objetivo e realizar o que foi planejado.
Auditoria de domínios usando o exemplo do MaxPatrol VM
Por onde começar na prática? Você precisa criar uma conta que tenha direitos de leitura do domínio. A tarefa é trivial, qualquer administrador sabe como fazer isso. Depois de criar, adicionamos esta conta na interface do MaxPatrol VM à lista de contas. Em seguida, criamos uma tarefa para coletar dados com o perfil desejado, especificamos a conta criada, alteramos a porta, se necessário, salvamos e iniciamos a tarefa de auditoria. Após a conclusão da tarefa, veremos todos os dados que recebemos do domínio: usuários, computadores, grupos e assim por diante.
A primeira coisa que você precisa olhar após digitalizar o Active Directory são os domínios confiáveis. Eles podem ser tanto da floresta como um todo quanto de domínios individuais. Portanto, obtemos dados sobre a própria floresta, os domínios confiáveis da floresta e, em seguida, os domínios confiáveis de todos os domínios. Em seguida, anexamos informações sobre todos os ativos e verificamos qual domínio confiável conhecemos e qual não.
Exemplo de detecção de domínios confiáveis em uma infraestrutura de teste. Um deles acabou por não ser digitalizado - em um ambiente de laboratório, este é um problema, pois tudo deve ser perfeito lá.
Após verificar os domínios confiáveis, você pode verificar todos os controladores especificados neles. Desta forma, você pode verificar novamente se não perdemos nada nos segmentos fechados da rede ou, possivelmente, simplesmente não configuramos totalmente a descoberta de host.
O resultado da comparação de dados do Active Directory com ativos no MaxPatrol VM.
Por exemplo, em nossa infraestrutura de laboratório, descobriu-se que um dos controladores de domínio - a saber, region DC01 - existe no AD, mas não há ativos com esse nome no VM. Este é um motivo para esclarecer com os especialistas de TI como isso aconteceu: este controlador está realmente funcionando ou é hora de limpar o AD de entradas desatualizadas.
Como podemos obter todas as máquinas do Active Directory, a próxima etapa será verificar os servidores especificados nos domínios. Da mesma forma, filtramos tudo por tipo “servidor” e executamos a anexação de dados várias vezes. Primeiro, adicionamos todos os ativos por nome de domínio totalmente qualificado (FQDN) e, em seguida, do AD de volta todos os grupos onde essa conta existe. Como resultado, obtemos as informações mais completas para entender que tipo de servidor é, para que serve e quais funções ele desempenha na infraestrutura.
A pergunta mais popular sobre auditoria do Active Directory
Durante a implementação e comunicação com os clientes, ouvimos regularmente a mesma pergunta que surge para muitos - se é necessário digitalizar domínios confiáveis (ou, mais precisamente, se é possível não digitalizá-los).
Como isso geralmente acontece: conduzimos a descoberta de hosts e vemos que há mais controladores de domínio do que o originalmente previsto. Começamos a descobrir - acontece que esta é uma subsidiária e, na opinião do cliente, digitalizar sua infraestrutura de TI é de alguma forma errado. As razões formais podem ser diferentes: não concordamos, não somos nós, deixe-os responder por sua própria segurança.
Estamos confiantes de que, se houver relações de confiança estabelecidas entre seus domínios e domínios externos, você deve digitalizar esses domínios.
Conclusão
Começamos este texto com uma ideia simples: é impossível proteger o que você não conhece. Durante o tempo que analisamos a estrutura do domínio, os vetores de ataque aos domínios e as ferramentas de auditoria, essa ideia, esperamos, tornou-se ainda mais óbvia. O domínio é realmente o coração da infraestrutura, e quem o controla, controla quase tudo.
Para especialistas em segurança da informação, a auditoria regular de controladores oferece várias vantagens críticas de uma só vez. Primeiro, você finalmente vê todos os computadores, contas, grupos e relações de confiança inseridos no domínio e, ao mesmo tempo, encontra ativos esquecidos. Em segundo lugar, a velocidade de resposta: quando o incidente ainda acontece, os dados atuais sobre o domínio permitem que você entenda rapidamente qual ativo foi atacado, a quem ele pertence e quais meios de proteção estão nele. Terceiro, a capacidade de fortalecer a proteção com antecedência: encontrar vulnerabilidades e eliminá-las, corrigir configurações inseguras, remover privilégios excessivos dos usuários, fechando assim as deficiências da infraestrutura antes que um invasor as descubra.
Para entender o tópico mais profundamente, pegue o link para o
guia especializado
para auditoria de ativos. Ele diz passo a passo e sem água sobre como construir o processo de gerenciamento de ativos para controlar e gerenciar toda a área de ataque potencial e estar um passo à frente do invasor. E no próximo artigo, analisaremos em detalhes os sistemas de virtualização - dê uma olhada, o material já está sendo preparado!
Tags:
captura de domínio
controlador de domínio
kerberoasting
krbtgt
rsat
shadow it
max patrol vm
hcc
siem
carbon
Hubs:
Blog da empresa Positive Technologies
Segurança da informação
Gerenciamento de produtos
Pesquisa e previsões em TI
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
