MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1003.006: DCSync

Злоумышленники могут попытаться получить доступ к учетным данным и другой конфиденциальной информации, используя программный интерфейс (API) контроллера домена Windows для имитации процесса репликации с удаленного контроллера домена с помощью техники DCSync.

Члены групп Administrators, Domain Admins и Enterprise Admins и владельцы учетных записей компьютеров на контроллере домена могут использовать DCSync для извлечения из Active Directory данных о паролях, которые могут включать в себя текущие и предыдущие хеши потенциально полезных учетных записей, таких как KRBTGT и Administrators. Затем эти хеши в свою очередь могут быть использованы для создания золотого билета Kerberos, который можно использовать для передачи билета (Pass the Ticket) или для изменения пароля учетной записи, как указано в статье Манипуляции с учетной записью.

Функциональность DCSync была включена в модуль lsadump в Mimikatz. Модуль lsadump также включает в себя функцию NetSync, которая выполняет DCSync по старому протоколу репликации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_nad: PT-CR-732: NAD_DCSync_Attack: PT NAD обнаружил возможную эксплуатацию атаки DCSync
mitre_attck_cred_access: PT-CR-2076: Netlogon_Auth: Аутентификация с помощью небезопасного протокола Netlogon
active_directory_attacks: PT-CR-595: DCSync_Privileges_Given: Пользователь выдал привилегии, необходимые для атаки DCSync, группе пользователей
active_directory_attacks: PT-CR-85: Replication_to_unauthorized_DRA: Неавторизованная репликация DC, позволяющая синхронизировать изменения, сделанные на одном контроллере домена, с другими контроллерами домена. Это может быть признаком атаки DCSync, позволяющей злоумышленнику получить учетные данные других пользователей домена
active_directory_attacks: PT-CR-594: DCSync_Attack: Атака DCSync, позволяющая злоумышленнику выдавать себя за контроллер домена и получать учетные данные пользователей. С помощью этих данных злоумышленник может горизонтально переместиться или получить доступ к конфиденциальной информации

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.

IDDS0026Источник и компонент данныхActive Directory: Доступ к объекту Active DirectoryОписание

Monitor domain controller logs for replication requests and other unscheduled activity possibly associated with DCSync. Note: Domain controllers may not log replication requests originating from the default domain controller account.

Меры противодействия

IDM1015НазваниеКонфигурация Active DirectoryОписание

Manage the access control list for "Replicating Directory Changes" and other permissions associated with domain controller replication.

IDM1027НазваниеПарольные политикиОписание

Ensure that local administrator accounts have complex, unique passwords across all systems on the network.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Do not put user or admin domain accounts in the local administrator groups across systems unless they are tightly controlled, as this is often equivalent to having a local administrator account with the same password on all systems. Follow best practices for design and administration of an enterprise network to limit privileged account use across administrative tiers.