Hacker hacking

Active Directory は、依然として企業内の ID およびアクセス管理の主要なソースであるため、多くの攻撃の中心にあります。

ハッカーは通常、多くの攻撃ベクトルにまたがるさまざまな攻撃手法で Active Directory を標的にします。これらの攻撃のいくつかと、組織が身を守るためにできることを考えてみましょう。

攻撃者が使用する最新の Active Directory 攻撃

Active Directory ドメイン サービス (AD DS) を標的とするさまざまな攻撃によって、環境が侵害される可能性があります。 AD DS に対して使用される次の最新の攻撃に注意してください。

  1. DCSync
  2. DCシャドウ
  3. パスワードスプレー
  4. パスザハッシュ
  5. パス・ザ・チケット
  6. ゴールデンチケット
  7. サービス プリンシパル名
  8. 管理者数
  9. 管理者SDHolder

1.DCシンク

Active Directory ドメイン サービスをホストするドメイン コントローラーは、一種のレプリケーションを使用して変更を同期します。経験豊富な攻撃者は、ドメイン コントローラーの正当なレプリケーション アクティビティを模倣し、GetNCChanges 要求を使用して、プライマリ ドメイン コントローラーから資格情報ハッシュを要求することができます。

Mimikatz などの無料のオープンソース ツールを使用すると、この種の攻撃を非常に簡単に行うことができます。

DCSync 攻撃からの保護:

  • ドメイン コントローラーの適切なセキュリティ プラクティスを実装し、特権アカウントを強力なパスワードで保護します。
  • サービス アカウントを含む不要なアカウントを Active Directory から削除する
  • ドメイン グループへの変更やその他のアクティビティを監視する

2.DCシャドウ

DCShadow 攻撃は、ドメイン コントローラー間の正当な Active Directory 通信トラフィックを利用するため、DCSync 攻撃と非常によく似ています。さらに、DCShadow 攻撃は、Mimikatz lsadump モジュールの一部として DCShadow コマンドを使用します。

これは、Microsoft Directory Replication Service Remote プロトコルの命令を使用します。これにより、攻撃者は不正なドメイン コントローラーを環境に登録し、その変更をバックグラウンドで他のドメイン コントローラーにレプリケートできます。これには、ドメイン管理者グループにハッカーが管理するアカウントを追加することが含まれる場合があります。

DCShadow 攻撃からの保護:

  • 権限昇格攻撃から環境を保護する
  • すべての保護されたアカウントとサービス アカウントで強力なパスワードを使用する
  • ドメイン管理者の資格情報を使用してクライアント PC にログインしない

3. パスワード スプレー

パスワード スプレーは、Active Directory ドメイン サービスの脆弱なアカウント パスワードを標的とするパスワード攻撃です。パスワード スプレーでは、攻撃者は 1 つの一般的なパスワードまたは脆弱なパスワードを使用し、複数の Active Directory アカウントに対して同じパスワードを試します。

攻撃者はアカウントごとに 1 回だけパスワードを試行するため、アカウントのロックアウトをトリガーしないため、従来のブルート フォース攻撃よりも優れています。このようにして、攻撃者は複数のユーザーにまたがる環境で脆弱なパスワードを見つけることができます。

パスワード スプレー攻撃からの保護:

  • 適切なパスワード ポリシーを使用して強力なパスワードを適用する
  • 増分パスワードまたは違反パスワードの使用を防止する
  • アカウントのパスワードの再利用を防ぐ
  • パスワードにパスフレーズの使用を奨励する

4.ハッシュを渡す

他のパスワード データベースと同様に、Active Directory はデータベースに格納されているパスワードをハッシュします。ハッシュは、平易な視界からパスワードを隠すクリアテキスト パスワードの単純な数学的表現です。 pass-the-hash 攻撃により、攻撃者はハッシュ形式のユーザー パスワードにアクセスし、それを使用して同じネットワーク上に新しいセッションを作成し、リソースにアクセスできます。

この攻撃では、攻撃者はパスワードを知ったりクラックしたりする必要はなく、パスワード ハッシュを所有するだけです。

Pass-the-hash 攻撃からの保護:

  • 管理者権限を持つユーザーの数を制限する
  • 強化されたワークステーションを管理者のジャンプ ボックスとして使用する
  • ローカル アカウント用の Microsoft ローカル管理者パスワード ソリューション (LAPS) を実装する

5.パス・ザ・チケット

最新の Active Directory 環境では、チケットベースの認証プロトコルである Kerberos 認証が使用されています。 Pass-the-ticket 攻撃は、盗まれた Kerberos チケットを使用して、環境内のリソースを認証します。

攻撃者は、この攻撃を使用して認証を悪用し、Active Directory 環境を移動し、必要に応じてリソースを認証し、権限昇格を行うことができます。

Pass-the-ticket 攻撃からの保護:

  • 特に管理者アカウントとサービス アカウントには強力なパスワードを使用する
  • 環境内の侵害されたパスワードを排除
  • 環境でのベスト プラクティスに従うことで、全体的なセキュリティ体制を強化します

6.ゴールデンチケット

ゴールデン チケット攻撃は、攻撃者が Active Directory キー配布サービス アカウント (KRBTGT) の NTLM ハッシュを盗むサイバー攻撃です。彼らは、他のタイプの攻撃を使用してこのハッシュを取得できます。 KRBTGT のパスワードを取得したら、チケットを作成する権限を自分自身と他のユーザーに付与できます。

このタイプの攻撃を検出することは困難であり、長期的な侵害につながる可能性があります。

ゴールデン チケット攻撃からの保護:

  • KRBTGT パスワードを定期的に、少なくとも 180 日ごとに変更する
  • Active Directory 環境で最小限の特権を適用する
  • 強力なパスワードを使用する

 

7. サービスプリンシパル名

サービス プリンシパル名 (SPN) は、Active Directory 内のサービス インスタンスの特別な識別子です。 Kerberos は SPN を使用して、Microsoft SQL Server などのサービス インスタンスを Active Directory アカウントに関連付けます。 Kerberos 攻撃は、SPN に使用されるサービス アカウントのパスワードを解読しようとします。

まず、Kerberos サービス チケットに対する悪意のある要求によって発行された TGS チケットを取得します。次に、キャプチャしたチケットをオフラインにして、Hashcat などのツールを使用してサービス アカウントのパスワードを平文でクラックします。

ケルベロス攻撃からの保護:

  • 不要な Kerberos チケット要求などの疑わしいアクティビティを監視する
  • サービス アカウントで非常に強力なパスワードを使用し、これらをローテーションする
  • サービス アカウントの使用状況とその他の特権アカウントを監視する

8.管理者数

攻撃者は通常、ネットワークへの低レベルのアクセス権を取得すると、環境の監視を実行します。攻撃者が最初に求める追加タスクの 1 つは、権限の昇格です。特権を昇格するには、どのアカウントが特権アカウントであるかを知る必要があります。

AdminCount 属性と呼ばれる Active Directory 属性は、Domain Admins などの保護されたグループに追加されたユーザーを識別します。攻撃者は、この属性を監視することで、管理者権限を持つオブジェクトを効果的に識別できます。

adminCount 攻撃からの保護:

  • 不正なユーザーまたはグループがないか、adminSDHolder ACL を定期的に監視する
  • adminCount 属性が「1」に設定されたアカウントを監視する
  • 全体的に強力なパスワードを使用する

9.管理者SDHolder

もう 1 つの一般的な Active Directory 攻撃ベクトルは、Security Descriptor Propagation (SDProp) プロセスを悪用して特権アクセスを取得することです。

SDプロップとは?

これは Active Directory の自動化されたプロセスであり、60 分ごとに SDProp プロセスが実行され、ACL が adminSDHolder オブジェクトからすべてのユーザーとグループにコピーされ、adminCount 属性が「1」に設定されます。攻撃者は、不正なユーザーまたはグループを adminSDHolder ACL に追加する可能性があります。

次に、SDProp プロセスは、管理者 SDHolder ACL と一致するように不正なユーザーのアクセス許可を調整し、権限を昇格させます。

adminSDHolder 攻撃からの保護:

  • 不正なユーザーまたはグループがないか、adminSDHolder ACL を定期的に監視する
  • adminCount 属性が「1」に設定されたアカウントを監視する
  • 全体的に強力なパスワードを使用する

Specops Password Policy (SPP) で Active Directory セキュリティを強化

Active Directory は、ビジネスに不可欠なデータを簡単に侵害する方法を探している攻撃者の主要な標的です。

脆弱、違反、増分、およびその他のパスワード タイプは、多くの場合、アカウントの侵害を容易にします。残念ながら、Active Directory には、最新のパスワード ポリシーを有効にしたり、侵害されたパスワードから保護したりするためのネイティブ ツールが含まれていません。

Specops パスワード ポリシーは、組織がさまざまな種類の Active Directory 攻撃からパスワードを保護するのに役立ち、既存のグループ ポリシーの自然な拡張機能を提供します。 Specops パスワード ポリシーを使用すると、組織は次のことができます。

  • カスタム辞書リストを作成して、組織に共通する単語をブロックします
  • 既知の侵害リストにあるパスワードや、現在発生している攻撃で使用されているパスワードを含む、侵害されたパスワード保護を使用して、侵害された 30 億を超えるパスワードの使用を検出して防止します。
  • Specops 認証クライアントを使用して、パスワード変更時にエンドユーザーにリアルタイムの動的フィードバックを提供します
  • ユーザー名、表示名、特定の単語、連続した文字、増分パスワードをブロックし、現在のパスワードの一部を再利用します
  • 任意の GPO レベル、コンピューター、ユーザー、またはグループ人口を対象とする
  • Specops は強力な侵害されたパスワード保護を提供します
Specops パスワード ポリシー
Specops パスワード ポリシー

まとめ

Active Directory インフラストラクチャを攻撃から保護することは、全体的なサイバーセキュリティ体制にとって重要です。サイバー犯罪者は通常、ここに挙げたものを含め、さまざまな攻撃ベクトルを使用して Active Directory アカウントを攻撃します。

環境内の全体的なパスワード セキュリティを強化し、適切なパスワード衛生を実施し、侵害されたパスワード、増分パスワード、その他の脆弱なパスワードを排除することは、Active Directory 環境と特権アカウントのセキュリティを強化するのに役立ちます。

侵害パスワード保護を備えたSpecops パスワード ポリシーは、組織がこの目標を効果的かつ簡単に達成するのに役立ちます。

Specops Softwareによる後援および執筆