カテゴリー

Uncategorized

Active Directoryの制御:攻撃者が攻撃パスを介してさらに大きな目標を達成する方法

  1. HOME >
  2. Uncategorized >

Active Directoryの制御:攻撃者が攻撃パスを介してさらに大きな目標を達成する方法

Microsoft ActiveDirectoryとAzureActive Directoryは、世界中のほとんどの主要企業でIDおよびアクセス管理に使用されるディレクトリサービス製品です。すべてのActiveDirectory(AD)環境は、ID攻撃パスと呼ばれるタイプの攻撃に対して脆弱です。

ActiveDirectoryの制御

これらの攻撃(IDスノーボール攻撃とも呼ばれます)では、攻撃者は最初にフィッシングメールまたはその他の方法を使用してホストを侵害します。ターゲットネットワーク内のコンピューターでコードを実行すると、そのホストにログインしているユーザーの特権(および、ResponderやMimikatzなどのツール)を使用して、他のマシンやシステムを危険にさらします。

これを行うには、Active DirectoryのSYSVOLでパスワードを検索する、「Kerberoast」攻撃でサービスアカウントのパスワードを解読する、ドメイン管理者の資格情報を取得するまで横方向に繰り返し移動して資格情報をダンプするなど、多くの手法があります(これらすべての方法の詳細は次のとおりです。この投稿で利用可能)。これらのステップは、攻撃者の最初のアクセスポイントから最終的な目的への「パス」を形成します。

ほとんどの場合、ドメイン管理者の資格情報を取得してActive Directoryを制御することは、その最終目標に到達する前の最後から2番目のステップです。この強力な立場で、攻撃者はエンドポイントをリモートで制御し、必要なアクセス権を自分たちに与えることができます。実際には、システム、ユーザー、またはビジネスプロセスを制御できます。この制御により、マルウェアの展開、貴重なデータへのアクセス、またはその他の完全な目的のいずれであっても、ほとんどの場合、目標を達成できます。

残念ながら、Active Directoryでは、いくつかの要因により攻撃パスが避けられません。1つは、数百または数千のユーザーとシステムを備えたエンタープライズAD環境のサイズです。ADで特権が付与される方法が不透明であるため、ADおよびシステム管理者は、包括的なセキュリティプリンシパルにあらゆる種類の特別な特権を付与するなど、簡単に間違いや設定ミスを犯す可能性があります(たとえば、「ドメインユーザー」グループにローカルで付与されるのはよくあることです)。 1つ以上のシステムの管理者権限)。AD自体は、管理者にユーザー権限の可視性をほとんど与えないため、ユーザー権限を監査し、作成されたこれらの設定ミスを見つけることはほぼ不可能です。設定ミスの債務は時間の経過とともに蓄積されます。

とにかく誰が攻撃パスを使用しますか?

これは単なる理論上の質問ではありません。攻撃パスは、今日、あらゆる種類の攻撃に対して敵対者によって広く使用されています。次にいくつかの例を示します。

  • マイクロソフトは最近、Active Directoryフェデレーションサービスへの管理者レベルのアクセスを取得するために資格情報を盗む、FoggyWebと呼ばれるマルウェアの分析を公開しました。このマルウェアは、SolarWinds攻撃の背後にいるアクターであるNOBELIUMからのものであり、早くも2021年4月に野生で観察されました。
  • Active Directory証明書サービスにはいくつかの脆弱性があります。1つは非常に深刻なもので、認証局の秘密鍵を盗み、取り消せない「ゴールデン」証明書を偽造することで、攻撃者がドメインの永続性を実現できるようにします。
  • これらの脆弱性は、セキュリティ研究者のGilles Lionelによって2021年7月に公開された「PetitPotam」攻撃と組み合わせて使用しネットワークアクセスだけから完全なドメイン管理者権限を取得できます。これは、ActiveDirectoryが危険にさらされる可能性がある多くの方法の1つにすぎません。

攻撃経路:目的を達成するための手段

攻撃者がActiveDirectoryの制御を取得することについての恐ろしい部分は、攻撃者に与える力です。そして、攻撃者がその力を使用する方法はたくさんあります。攻撃パスは重大な攻撃を開始するために使用される可能性があるため、防御側はADのセキュリティに注意を払う必要があります。攻撃者が攻撃パスを悪用してランサムウェアを展開したり、機密データを盗んだり、永続性を実現したりするシナリオの例を次に示します。

ランサムウェアの展開

Active Directoryの制御とは、企業内のすべてのシステム、ユーザー、およびプロセスの制御を意味します。攻撃者は、すべてのシステムを制御することで、グループポリシー、SCCM、サードパーティのソフトウェア展開製品など、通常はドメインに参加しているWindowsシステムで実行されるいくつかのメカニズムを通じて、ランサムウェアをすべてのシステムに展開できます。

データを盗む

ドメイン管理者権限を使用すると、攻撃者がアクセスできない企業内のデータはありません。誰かがアクセスできる場合は、ドメイン管理者もアクセスできます。データが暗号化または帯域外多要素認証(MFA)によって保護されている場合でも、攻撃者は、保護されたデータにアクセスするためにユーザーが使用する正当なアクセスに乗るだけで済みます。

永続性

ドメイン管理者レベルのアクセスを実現することで、攻撃者はネットワークの永続性を維持したり、バックドアを追加したりして、将来的に高い特権をすぐに取り戻すことができます。カーネルレベルのルートキットからネットワークインフラストラクチャへのエージェントの展開まで、高度なレベルはさまざまであり、最も熟練したインシデント対応の専門家でさえ特定して排除することは非常に困難です。

攻撃パスは、ソフトウェアの脆弱性よりも検出と定量化が難しく、Active Directoryの範囲と複雑さのおかげですべての組織に存在し、攻撃者が再試行するのを阻止する方法が事実上ないため、攻撃者にとって魅力的です。ネットワークをキャッチして開始しました。ADを強化し、設定ミスを削減または修正し、特権を超えたユーザーを評価することで、攻撃パスを閉じることができます。しかし、最初のステップは、防御側が現在の攻撃パスのリスクを理解することです。

-Uncategorized