Active Directory u fokusu napadača

Microsoft Active Directory (ne treba ga mešati sa Azure Active Directory!) možda je najprisutniji deo infrastrukturnog softvera u svetu. To je usluga uključena u operacijske sisteme Windows Server i koristi se za centralizovano upravljanje domenom, ali i druge usluge identiteta. Mnoge druge tehnologije i proizvodi zavise od njega ili su integrisani sa njim: od Group Policy-a i usluga štampanja (print services), preko DNS-a do Exchangea i Sharepoint servera. Protokoli kao što je SMB (ili CIFS), koji se koriste za komunikaciju sa klijentima koji su članovi domene (kao što su Windows laptop računari), omogućeni su od strane Active Directory-a.

Upravo zbog svoje popularnosti, ali i zastarele tehnologije, Active Directory (AD) otvara veliku priliku zlonamernim akterima da se lateralno kreću, iskorišćavajući različite ranjivosti i pogrešne konfiguracije povezane s Active Directory-jem. Uspešni napadi, kao što je protiv Maerska, u velikoj meri su omogućeni i poboljšani globalnim primenama AD. U stvari, AD je veoma skup i težak teret za administratore, jer se mora proveravati, osiguravati i održavati 24/7. Jednom kada napadač stekne uporište kroz phishing i prijavi se na računar člana domene, često je vrlo teško sprečiti lateralno pomeranje, podizanje privilegija ili iskorišćavanje ranjivosti.

Bezbednosna kompanija Tenable radi dobar posao naglašavajući slabosti AD-a koje koriste napadači, a posebno operateri ransomware-a. U svojoj beloj knjizi Ransomware Ecosystem whitepaper, Tenable otkriva da Active Directory igra ključnu ulogu u napadima ransomware-a. Kad uđu unutra, napadači često ciljaju Active Directory, jer dobivanje domenskih privilegija napadačima daje potrebne mogućnosti za distribuciju svojih ransomware paketa po cijeloj mreži.

Kao što je dokumentovano u izveštaju DFIR-a, AD je veliki pokretač: napadači danas mogu da preuzmu i da izvrše otkupninu za ceo AD domen organizacije u roku od 2 sata od prve phishing e-pošte, iskorišćavajući ranjivosti i popularne alate usput.