「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

Active Directory: Active Directory Object Creation

• 與 AD 物件新增有關的攻擊手法

Account Manipulation

• 對應ID： T1098
• 說明
  • 攻擊者會針對控制帳號已保持對受害者系統的存取
    • 修改憑證/密碼
    • 修改群組
    • 破壞安全策略
    • 反覆更新密碼繞過持續時間策略

Account Manipulation: Device Registration

• 對應 ID: T1098.005
• 攻擊者將自身電腦註冊到 AD 環境中
  • 防禦：監控是否有非登入設備/主機/電腦註冊到 AD 網域內
• 攻擊者將自身電腦註冊到「多因素系統」(MFA)
  • MFA 例子：Duo、Okta
  • 常見應用
    • Azure AD
    • Microsoft Intune
  • 目的
    • 繞過存取策略
    • 存取敏感資料
    • 若在　Azure AD 註冊，可能造成以下狀況
      -　魚叉式釣魚網站
      -　註冊大量設備可能造成服務耗盡

Rogue Domain Controller

• 對應 ID: T1207
• 攻擊者可以建議惡意的網域控制器，用來控制 AD 資料
• 手法名稱：DCShadow (不算是漏洞)

DCShadow

• 建議惡意網域控制器
• 複製惡意的 object 到目標(受害)網域控制器
• 初始本意：不想要引起告警機制
• 限制：無法在目標（受害）網域控制器新增新的 object
  • 但可利用 pass the hash 手法
• DCShadow 不需要複製資料
• 先新增(惡意網域控制器)已經存在的 object
  • 原理: 更換 object 中的屬性
• 原理
  • ntds.dit AD 資料庫
  • NTDS
    • KCC(Knowledge Consistency Checker) 完成 AD 資料庫複製：用來生成並維護 AD 網域複製檔案與 AD 網域之間的複製檔案
  • AD 資料庫會使用 nTDSDSA object 表示網域控制器，儲存於網域設定（DC 儲存於網域容器 objectclass=sitesContainer
  • organization
    • 只能放在 locality、country、domainDNS
• 步驟
  1. 需要取得高權限的帳號(如 domain 或 enterpeise admin)
  2. 在帳號內設定 SPNs
     • Kerberos SPN 屬性可以讓其他 DC 做身分驗證
  3. 新增 NTDS-DSA object
  4. 模擬受害環境的電腦帳號
  5. 設定適合的 RPC server
  6. 強制複製的執行緒
  7. 驗證取得權限
• 防禦方式
  • 檢查 schema 的設定區域，nTDSDSA 是否是正常的 DC

參考資料

• https://attack.mitre.org/techniques/T1098/