Serangan terhadap Direktori Aktif ? Juga, tetapi tidak hanya ...

(Untuk Alessandro Rugolo)

04/08/23

Membaca sambil membaca saya menemukan satu Infografis sangat menarik. Saya harus mengakui bahwa infografis menarik saya karena kemampuannya untuk merepresentasikan konsep dengan cara yang jelas dan langsung melalui diagram atau gambar. Cara representasi ini sering membangkitkan rasa ingin tahu saya dan begitu juga kali ini.

Ini adalah posting LinkedIn yang diterbitkan di grup (Akademi Peretas Etis) di mana sepuluh metode untuk menyerang Direktori Aktif (AD) diwakili.

Jadi, saya pikir pantas untuk mempelajarinya sejenak karena lebih dari sekali saya menyadari bahwa ada banyak orang yang berpikir bahwa memiliki domain AD dapat menjadi pemecah keamanan.

Seperti semua sistem, AD membawa manfaat keamanan tetapi bukan tanpa batas dan kerentanan (dan bahkan konfigurasi yang lebih buruk!) dan kita akan membicarakannya di artikel ini.

Tapi apa itu Direktori Aktif?

Layanan direktori, seperti Active Directory, menyediakan metode untuk menyimpan data direktori dan membuatnya tersedia untuk administrator dan pengguna jaringan. Direktori Aktif menyimpan informasi akun pengguna, seperti nama, kata sandi, nomor telepon, dan seterusnya, dan mengizinkan pengguna resmi lainnya di jaringan yang sama untuk mengakses informasi tersebut. Active Directory menggunakan penyimpanan data terstruktur sebagai dasar untuk organisasi informasi direktori yang logis dan hierarkis dan berisi informasi tentang objek Active Directory. Objek ini biasanya mencakup sumber daya bersama seperti server, volume, printer, dan akun pengguna jaringan dan komputer. Keamanan terintegrasi dengan Active Directory melalui otentikasi login dan kontrol akses ke objek dalam direktori. Dengan satu login jaringan, administrator dapat mengelola data organisasi dan direktori di seluruh jaringan, dan pengguna jaringan resmi dapat mengakses sumber daya di mana saja di jaringan. Administrasi berbasis kebijakan menyederhanakan pengelolaan jaringan yang paling kompleks sekalipun.

Jadi jangan lupa bahwa AD menjalankan fungsi tertentu dan tidak semuanya merupakan fungsi keamanan. AD berfungsi sebagai tempat penyimpanan terpusat untuk beberapa data, data tersebut dapat direplikasi dan disebarluaskan ke seluruh organisasi yang kompleks untuk memastikan ketersediaan tinggi dari beberapa layanan, melakukan fungsi keamanan dengan memungkinkan penggunaan berbagai jenis otentikasi, GPO dan alur kerja, melakukan audit pada beberapa event yang dapat terjadi pada sistem Identity Management seperti autentikasi pengguna dan juga dapat melakukan fungsi Single Sign On.

Mengingat jumlah dan pentingnya fungsi, oleh karena itu perlu memberi perhatian khusus dan bertanya pada diri sendiri pertanyaan: apa yang terjadi jika AD diserang?

Nah, tanpa ingin panjang lebar, berikut adalah beberapa jenis serangan yang harus dipelajari agar tidak berbahaya atau setidaknya untuk menyadari bahwa Anda sedang diserang.

Kerberasting. Menurut definisi CROWDSTRIKE, itu adalah teknik serangan pasca-eksploitasi (serangan yang cenderung memperluas dan meningkatkan kredensial seseorang ketika seseorang sudah berada di dalam sistem). Serangan ini terdiri dari mendapatkan hash kata sandi akun AD yang menggunakan layanan SPN (Nama Prinsipal Layanan: layanan Manajemen Identitas). Setelah hash diperoleh, penyerang menguraikan kata sandi dan pada titik ini dia memiliki semua yang dia butuhkan untuk menyamar sebagai pengguna dan dengan demikian memiliki akses ke semua jaringan atau sistem yang dia otorisasi.

Serangan Penyemprotan Kata Sandi. Juga menurut CROWDSTRIKE, jenis serangan ini terdiri dari mencoba kata sandi yang sama terhadap daftar pengguna di aplikasi yang sama. Oleh karena itu, ini adalah serangan brute force, lebih mudah disembunyikan daripada serangan yang lebih umum terhadap satu pengguna dengan banyak kata sandi. Dalam hal ini Active Directory digunakan oleh penyerang untuk mengumpulkan daftar pengguna aktif pada sistem, tetapi pengumpulan informasi ini juga dapat dilakukan dengan cara lain, jadi menurut saya tidak tepat untuk mempertimbangkan jenis serangan ini di antara mereka. yang mengambilnya menargetkan direktori aktif. Dan mari kita beralih ke yang ketiga.

Resolusi Nama Multicast Loop Lokal (LLMNR). Ini adalah protokol yang memungkinkan resolusi nama di jaringan lokal berkat penggunaan paket multicast pada port UDP 5355. Dalam hal ini AD, jika GPO-nya tidak mengandung indikasi untuk tidak menggunakan LLMNR, ia memainkan permainan penyerang. Juga dalam hal ini bukan kelemahan AD tetapi evaluasi (semoga) dari administrator jaringan, bahkan dalam beberapa kasus penggunaan LLMNR berguna, meskipun saat ini kasus seperti itu telah berkurang banyak.

Pass-the-hash menggunakan Mimikatz. Teknik serangan ini terdiri dari mencuri kredensial dari AD. Kredensial yang kemudian dapat digunakan untuk melakukan gerakan lateral dalam lingkungan yang diserang. Untuk melakukan serangan ini, perlu mengekstrak hash kata sandi pengguna domain, yang terletak di file Ntds.dit, bersama dengan informasi lain tentang objek dan grup. Jadi, berkat penggunaan alat yang disebut Mimikatz, hash dapat digunakan untuk melakukan serangan, menyamar sebagai pengguna domain mana pun.

Pengintaian LDAP. Teknik yang disebut Pengintaian LDAP terdiri dari serangan yang dilakukan dari dalam sistem dan yang bertujuan untuk mengumpulkan informasi dari LDAP. Informasi pengguna ini kemudian dapat digunakan untuk melakukan serangan bertarget yang lebih canggih.

Pengintaian Bloodhound. BloodHound adalah alat yang memungkinkan Anda mencari kerentanan di AD, tetapi tidak hanya. BloodHound mengeksploitasi teori grafik untuk mengidentifikasi hubungan tersembunyi, izin, sesi, dan kemungkinan jalur serangan di domain windows. Secara teori, tujuannya adalah untuk membantu pakar keamanan siber mempertahankan domain mereka, tetapi tentu saja itu juga dapat digunakan oleh penyerang.

Harus dikatakan bahwa pada prinsipnya ini bukan serangan atau alat khusus untuk AD tetapi seringkali juga valid terhadap sistem lain.

Daftar sepuluh serangan juga mencakup teknik serangan yang benar-benar umum, tidak secara langsung melibatkan AD, khususnya: kredensial default, kredensial hard-code, eskalasi hak istimewa. Teknik-teknik ini tidak secara eksklusif melawan AD tetapi dapat digunakan melawan sistem komputer apa pun.

Saya selalu bertanya-tanya mengapa sesuatu, terutama ketika saya menulis.

Judul dapat memiliki banyak pengaruh dalam menarik atau tidak menarik pembaca dan pembaca tidak selalu memperhatikan apa yang mereka baca. Hasilnya seperti biasa: seseorang dipengaruhi, mendukung atau melawan subjek atau ide tertentu.

Dalam hal ini, dari sepuluh metode serangan terhadap Active Directory, yang ingin menjadi luas, maksimal enam dapat dipertimbangkan. Bagaimanapun, saya berterima kasih kepada Akademi Peretas Etis karena telah memberi saya kesempatan untuk sedikit wawasan.

PS Seperti biasa, terima kasih kepada teman-teman SICYNT yang ingin berkontribusi dengan saran dan koreksi

_{Untuk mempelajari lebih lanjut:}

_{- https://www.linkedin.com/posts/mohessa511_activedirectory-kerberos-attac...}

_{- https://www.crowdstrike.com/cybersecurity-101/kerberoasting/}

_{- https://thebackroomtech.com/2018/08/21/explanation-of-service-principal-...}

_{- https://www.crowdstrike.com/cybersecurity-101/password-spraying/}

_{- https://www.blackhillsinfosec.com/how-to-disable-llmnr-why-you-want-to/}

_{- https://www.blackhillsinfosec.com/?s=Active+Directory}

_{- https://www.advantio.com/blog/attacking-active-directory-by-llmnr-nbsn}

_{- https://blog.netwrix.com/2021/11/30/passing-the-hash-with-mimikatz/}

_{- https://blog.netwrix.com/2021/11/30/extracting-password-hashes-from-the-...}

_{- https://www.netwrix.com/ldap_reconnaissance_active_directory.html}