Active Directory u fokusu napadača

Microsoft Active Directory (ne treba ga brkati sa Azure Active Directory!) možda je najprisutniji dio infrastrukturnog softvera u svijetu. To je usluga uključena u operacijske sisteme Windows Server i koristi se za centralizovano upravljanje domenom, ali i druge usluge identiteta. Mnoge druge tehnologije i proizvodi zavise od njega ili su integrisani sa njim: od Group Policy-a i usluga štampanja (print services), preko DNS-a do Exchangea i Sharepoint servera. Protokoli kao što je SMB (ili CIFS), koji se koriste za komunikaciju sa klijentima koji su članovi domene (kao što su Windows laptopovi), omogućeni su od strane Active Directory-a.

Upravo zbog svoje popularnosti, ali i zastarjele tehnologije, Active Directory (AD) otvara veliku priliku zlonamjernim akterima da se lateralno pomaknu, iskorištavajući različite ranjivosti i pogrešne konfiguracije povezane s Active Directoryjem. Uspješni napadi, poput onog protiv Maerska, u velikoj mjeri su omogućeni i poboljšani globalnim AD implementacijama. U stvari, AD je veoma skup i težak teret za administratore, jer se mora provjeravati, osiguravati i održavati 24/7. Jednom kada napadač stekne uporište kroz phishing i prijavi se na računar člana domene, često je vrlo teško spriječiti lateralno pomicanje, podizanje privilegija ili iskorištavanje ranjivosti.

Sigurnosna kompanija Tenable radi dobar posao naglašavajući slabosti AD-a koje koriste napadači, a posebno operateri ransomware-a. U svom dokumentu Ransomware Ecosystem whitepaper, Tenable otkriva da Active Directory igra ključnu ulogu u napadima ransomware-a. Kad uđu unutra, napadači često ciljaju Active Directory, jer sticanje domenskih privilegija napadačima daje potrebne mogućnosti za distribuciju svojih ransomware paketa po cijeloj mreži.

Kao što je dokumentovano u izvještaju DFIR-a, AD je veliki pokretač: napadači danas mogu preuzeti i izvršiti otkupninu za cijelu organizacijsku AD domenu u roku od 2 sata od prve phishing e-pošte, koristeći ranjivosti i popularne alate usput.