MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1207: Поддельный контроллер домена

Злоумышленники могут зарегистрировать поддельный контроллер домена, чтобы получить возможность изменять данные Active Directory (AD). Для создания поддельного контроллера домена может использоваться метод DCShadow, который позволяет регистрировать (либо использовать неактивные) контроллеры домена и имитировать их поведение для манипулирования данными Active Directory (AD), включая объекты и схемы . Поддельный контроллер может внедрять и копировать изменения в инфраструктуру AD для любого объекта домена, включая учетные данные и ключи.

Регистрация поддельного контроллера состоит в создании нового сервера и объектов nTDSDSA в разделе конфигурации схемы AD; для этого требуются права администратора (администратора домена или локального администратора контроллера) или хеш учетной записи KRBTGT .

Эта техника позволяет избежать регистрации в системных журналах и обойти защитные механизмы, такие как SIEM-системы, поскольку данные о действиях, выполненных на поддельном контроллере домена, могут не регистрироваться этими средствами . Эта техника также может использоваться для изменения и удаления репликации и других связанных метаданных, чтобы затруднить проведение криминалистического анализа. Злоумышленники также могут использовать эту технику для внедрения в sIDHistory и (или) манипулирования объектами AD (например, учетными записями, списками контроля доступа, схемами) с целью установки бэкдоров для закрепления в системе .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_nad: PT-CR-731: NAD_DCShadow_Attack: PT NAD обнаружил возможную эксплуатацию атаки DCShadow
active_directory_attacks: PT-CR-593: DCShadow_Attack: Возможная атака DCShadow, которая позволяет создать поддельный контроллер домена в среде Active Directory для внесения вредоносных изменений в эту среду. Злоумышленники могут использовать эту атаку, чтобы закрепиться в инфраструктуре, избегая обнаружения

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Создание объекта Active DirectoryОписание

Периодически анализируйте раздел конфигурации схемы AD и сравнивайте его со стандартным состоянием и отслеживайте создание новых объектов nTDSDSA.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте сетевой трафик, связанный с репликацией данных (например, вызовы DrsAddEntry, DrsReplicaAdd и особенно GetNCChanges) между контроллерами доменов, а также входящий и исходящий трафик узлов, не относящихся к контроллеру домена . Репликация контроллера домена естественным образом происходит каждые 15 минут, но может быть инициирована злоумышленником или в случае срочных легитимных изменений (например, паролей).

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Используйте синхронизацию каталогов AD (DirSync), чтобы отслеживать изменения в состояниях каталогов с помощью куки репликации. Также по возможности отслеживайте репликацию объектов AD и включите уведомления о ней (регистрируется событиями подробного аудита репликации служб каталогов с ИД 4928 и 4929) .

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Проанализируйте использование имен субъектов-служб (SPN) Kerberos, особенно тех, которые начинаются с "GC/" и связаны со службами на компьютерах, не входящих в организационную единицу (OU) контроллера домена. Имя SPN, связанное с интерфейсом удаленного протокола службы репликации каталогов (DRS) (GUID E3514235-4B06-11D1-AB04-00C04FC2DCD2), может быть установлено без регистрации в журнале. Для успешного завершения процесса репликации неавторизованный контроллер домена должен аутентифицироваться как служба, используя эти два SPN.