Active Directory は、依然として企業内の ID およびアクセス管理の主要なソースであるため、多くの攻撃の中心にあります。
ハッカーは通常、多くの攻撃ベクトルにまたがるさまざまな攻撃手法で Active Directory を標的にします。これらの攻撃のいくつかと、組織が身を守るためにできることを考えてみましょう。
攻撃者が使用する最新の Active Directory 攻撃
Active Directory ドメイン サービス (AD DS) を標的とするさまざまな攻撃によって、環境が侵害される可能性があります。 AD DS に対して使用される次の最新の攻撃に注意してください。
- DCSync
- DCシャドウ
- パスワードスプレー
- パスザハッシュ
- パス・ザ・チケット
- ゴールデンチケット
- サービス プリンシパル名
- 管理者数
- 管理者SDHolder
1.DCシンク
Active Directory ドメイン サービスをホストするドメイン コントローラーは、一種のレプリケーションを使用して変更を同期します。経験豊富な攻撃者は、ドメイン コントローラーの正当なレプリケーション アクティビティを模倣し、GetNCChanges 要求を使用して、プライマリ ドメイン コントローラーから資格情報ハッシュを要求することができます。
Mimikatz などの無料のオープンソース ツールを使用すると、この種の攻撃を非常に簡単に行うことができます。
DCSync 攻撃からの保護:
- ドメイン コントローラーの適切なセキュリティ プラクティスを実装し、特権アカウントを強力なパスワードで保護します。
- サービス アカウントを含む不要なアカウントを Active Directory から削除する
- ドメイン グループへの変更やその他のアクティビティを監視する
2.DCシャドウ
DCShadow 攻撃は、ドメイン コントローラー間の正当な Active Directory 通信トラフィックを利用するため、DCSync 攻撃と非常によく似ています。さらに、DCShadow 攻撃は、Mimikatz lsadump モジュールの一部として DCShadow コマンドを使用します。
これは、Microsoft Directory Replication Service Remote プロトコルの命令を使用します。これにより、攻撃者は不正なドメイン コントローラーを環境に登録し、その変更をバックグラウンドで他のドメイン コントローラーにレプリケートできます。これには、ドメイン管理者グループにハッカーが管理するアカウントを追加することが含まれる場合があります。
DCShadow 攻撃からの保護:
- 権限昇格攻撃から環境を保護する
- すべての保護されたアカウントとサービス アカウントで強力なパスワードを使用する
- ドメイン管理者の資格情報を使用してクライアント PC にログインしない
3. パスワード スプレー
パスワード スプレーは、Active Directory ドメイン サービスの脆弱なアカウント パスワードを標的とするパスワード攻撃です。パスワード スプレーでは、攻撃者は 1 つの一般的なパスワードまたは脆弱なパスワードを使用し、複数の Active Directory アカウントに対して同じパスワードを試します。
攻撃者はアカウントごとに 1 回だけパスワードを試行するため、アカウントのロックアウトをトリガーしないため、従来のブルート フォース攻撃よりも優れています。このようにして、攻撃者は複数のユーザーにまたがる環境で脆弱なパスワードを見つけることができます。
パスワード スプレー攻撃からの保護:
- 適切なパスワード ポリシーを使用して強力なパスワードを適用する
- 増分パスワードまたは違反パスワードの使用を防止する
- アカウントのパスワードの再利用を防ぐ
- パスワードにパスフレーズの使用を奨励する
4.ハッシュを渡す
他のパスワード データベースと同様に、Active Directory はデータベースに格納されているパスワードをハッシュします。ハッシュは、平易な視界からパスワードを隠すクリアテキスト パスワードの単純な数学的表現です。 pass-the-hash 攻撃により、攻撃者はハッシュ形式のユーザー パスワードにアクセスし、それを使用して同じネットワーク上に新しいセッションを作成し、リソースにアクセスできます。
この攻撃では、攻撃者はパスワードを知ったりクラックしたりする必要はなく、パスワード ハッシュを所有するだけです。
Pass-the-hash 攻撃からの保護:
- 管理者権限を持つユーザーの数を制限する
- 強化されたワークステーションを管理者のジャンプ ボックスとして使用する
- ローカル アカウント用の Microsoft ローカル管理者パスワード ソリューション (LAPS) を実装する
5.パス・ザ・チケット
最新の Active Directory 環境では、チケットベースの認証プロトコルである Kerberos 認証が使用されています。 Pass-the-ticket 攻撃は、盗まれた Kerberos チケットを使用して、環境内のリソースを認証します。
攻撃者は、この攻撃を使用して認証を悪用し、Active Directory 環境を移動し、必要に応じてリソースを認証し、権限昇格を行うことができます。
Pass-the-ticket 攻撃からの保護:
- 特に管理者アカウントとサービス アカウントには強力なパスワードを使用する
- 環境内の侵害されたパスワードを排除
- 環境でのベスト プラクティスに従うことで、全体的なセキュリティ体制を強化します
6.ゴールデンチケット
ゴールデン チケット攻撃は、攻撃者が Active Directory キー配布サービス アカウント (KRBTGT) の NTLM ハッシュを盗むサイバー攻撃です。彼らは、他のタイプの攻撃を使用してこのハッシュを取得できます。 KRBTGT のパスワードを取得したら、チケットを作成する権限を自分自身と他のユーザーに付与できます。
このタイプの攻撃を検出することは困難であり、長期的な侵害につながる可能性があります。
ゴールデン チケット攻撃からの保護:
- KRBTGT パスワードを定期的に、少なくとも 180 日ごとに変更する
- Active Directory 環境で最小限の特権を適用する
- 強力なパスワードを使用する
7. サービスプリンシパル名
サービス プリンシパル名 (SPN) は、Active Directory 内のサービス インスタンスの特別な識別子です。 Kerberos は SPN を使用して、Microsoft SQL Server などのサービス インスタンスを Active Directory アカウントに関連付けます。 Kerberos 攻撃は、SPN に使用されるサービス アカウントのパスワードを解読しようとします。
まず、Kerberos サービス チケットに対する悪意のある要求によって発行された TGS チケットを取得します。次に、キャプチャしたチケットをオフラインにして、Hashcat などのツールを使用してサービス アカウントのパスワードを平文でクラックします。
ケルベロス攻撃からの保護:
- 不要な Kerberos チケット要求などの疑わしいアクティビティを監視する
- サービス アカウントで非常に強力なパスワードを使用し、これらをローテーションする
- サービス アカウントの使用状況とその他の特権アカウントを監視する
8.管理者数
攻撃者は通常、ネットワークへの低レベルのアクセス権を取得すると、環境の監視を実行します。攻撃者が最初に求める追加タスクの 1 つは、権限の昇格です。特権を昇格するには、どのアカウントが特権アカウントであるかを知る必要があります。
AdminCount 属性と呼ばれる Active Directory 属性は、Domain Admins などの保護されたグループに追加されたユーザーを識別します。攻撃者は、この属性を監視することで、管理者権限を持つオブジェクトを効果的に識別できます。
adminCount 攻撃からの保護:
- 不正なユーザーまたはグループがないか、adminSDHolder ACL を定期的に監視する
- adminCount 属性が「1」に設定されたアカウントを監視する
- 全体的に強力なパスワードを使用する
9.管理者SDHolder
もう 1 つの一般的な Active Directory 攻撃ベクトルは、Security Descriptor Propagation (SDProp) プロセスを悪用して特権アクセスを取得することです。
SDプロップとは?
これは Active Directory の自動化されたプロセスであり、60 分ごとに SDProp プロセスが実行され、ACL が adminSDHolder オブジェクトからすべてのユーザーとグループにコピーされ、adminCount 属性が「1」に設定されます。攻撃者は、不正なユーザーまたはグループを adminSDHolder ACL に追加する可能性があります。
次に、SDProp プロセスは、管理者 SDHolder ACL と一致するように不正なユーザーのアクセス許可を調整し、権限を昇格させます。
adminSDHolder 攻撃からの保護:
- 不正なユーザーまたはグループがないか、adminSDHolder ACL を定期的に監視する
- adminCount 属性が「1」に設定されたアカウントを監視する
- 全体的に強力なパスワードを使用する
Specops Password Policy (SPP) で Active Directory セキュリティを強化
Active Directory は、ビジネスに不可欠なデータを簡単に侵害する方法を探している攻撃者の主要な標的です。
脆弱、違反、増分、およびその他のパスワード タイプは、多くの場合、アカウントの侵害を容易にします。残念ながら、Active Directory には、最新のパスワード ポリシーを有効にしたり、侵害されたパスワードから保護したりするためのネイティブ ツールが含まれていません。
Specops パスワード ポリシーは、組織がさまざまな種類の Active Directory 攻撃からパスワードを保護するのに役立ち、既存のグループ ポリシーの自然な拡張機能を提供します。 Specops パスワード ポリシーを使用すると、組織は次のことができます。
- カスタム辞書リストを作成して、組織に共通する単語をブロックします
- 既知の侵害リストにあるパスワードや、現在発生している攻撃で使用されているパスワードを含む、侵害されたパスワード保護を使用して、侵害された 30 億を超えるパスワードの使用を検出して防止します。
- Specops 認証クライアントを使用して、パスワード変更時にエンドユーザーにリアルタイムの動的フィードバックを提供します
- ユーザー名、表示名、特定の単語、連続した文字、増分パスワードをブロックし、現在のパスワードの一部を再利用します
- 任意の GPO レベル、コンピューター、ユーザー、またはグループ人口を対象とする
- Specops は強力な侵害されたパスワード保護を提供します
まとめ
Active Directory インフラストラクチャを攻撃から保護することは、全体的なサイバーセキュリティ体制にとって重要です。サイバー犯罪者は通常、ここに挙げたものを含め、さまざまな攻撃ベクトルを使用して Active Directory アカウントを攻撃します。
環境内の全体的なパスワード セキュリティを強化し、適切なパスワード衛生を実施し、侵害されたパスワード、増分パスワード、その他の脆弱なパスワードを排除することは、Active Directory 環境と特権アカウントのセキュリティを強化するのに役立ちます。
侵害パスワード保護を備えたSpecops パスワード ポリシーは、組織がこの目標を効果的かつ簡単に達成するのに役立ちます。
Specops Softwareによる後援および執筆
Comments