Contenuti di Rilevamento per Affrontare le Tecniche degli Attaccanti Descritte nella Ricerca “Domain of Thrones: Parte I”
Indice:
Le forze offensive cercano continuamente nuovi modi per ottenere l’accesso all’ambiente di dominio e mantenere la loro presenza sfruttando più vettori di attacco e sperimentando con diversi strumenti e tecniche dell’avversario. Ad esempio, possono sfruttare le vulnerabilità rivelate come nel caso di tentativi di avversari di sfruttare la vulnerabilità nel Windows AD di Microsoft a metà della primavera 2023, portando a potenziali attacchi di escalation di privilegi.
Questo articolo basato sulla ricerca di Nico Shyne e Josh Prager ottiene informazioni sui TTP degli aggressori utilizzati per ottenere e mantenere l’accesso all’interno di un ambiente di dominio, come il furto di credenziali sul controller di dominio, la sincronizzazione delle configurazioni di Active Directory (AD), la manipolazione del protocollo di autenticazione Kerberos e lo sfruttamento dei certificati. Per aiutare i difensori a sventare attacchi correlati, stiamo condividendo con i colleghi del settore un elenco di contenuti di rilevamento pertinenti dalla piattaforma SOC Prime.
Rilevamento dei TTP degli avversari Descritti nella Serie “Domain of Thrones: Part I”
Gli avversari cercano costantemente nuovi modi per infiltrarsi e mantenere la persistenza all’interno della rete organizzativa in modo nascosto. Con la persistenza del dominio che si distingue come un obiettivo succulento, gli attori delle minacce sfruttano varie tecniche di abuso di Kerberos per raggiungere obiettivi maliziosi. I difensori informatici dovrebbero tenere d’occhio i metodi di attacco in evoluzione per identificare e prevenire proattivamente le intrusioni nelle fasi più precoci.
Per aiutare i professionisti della sicurezza a rimanere al passo con gli attacchi di persistenza del dominio, la piattaforma SOC Prime offre un insieme dedicato di regole di rilevamento che affrontano specificamente le principali tecniche di attacco, come il furto di credenziali sui controller di dominio, le manipolazioni del protocollo Kerberos o l’abuso di Active Directory.
Tutti i rilevamenti sono compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake e mappati al framework MITRE ATT&CK per semplificare l’indagine sulle minacce e ridurre il tempo per la traduzione delle query tra piattaforme. Inoltre, ogni elemento di rilevamento è accompagnato da metadati estesi, inclusi collegamenti CTI, riferimenti ATT&CK, configurazione dell’audit, contesto del falso positivo e raccomandazioni per il triage disponibili tramite Uncoder AI.
Premi il pulsante Esplora i Rilevamenti qui sotto e approfondisci un insieme di regole Sigma curate per semplificare le operazioni di caccia alle minacce.
Panoramica delle Tecniche di Attacco di “Domain of Thrones: Part I”
Con gli aggressori che cercano continuamente modi per accedere e ottenere persistenza nell’ambiente di dominio mirato, i difensori si concentrano principalmente sui mezzi di accesso iniziale dell’avversario. Tuttavia, potrebbero trascurare lo stato del dominio post-breach che necessita di misure di rimedio rapide. A causa di un numero crescente di operazioni offensive che compromettono gli ambienti di dominio, i difensori sono preoccupati per i modi di riprendere il controllo sul dominio impattato, ristabilire la fiducia e assicurarsi che l’efficienza operativa rimanga intatta.
Molti collettivi di hacking sostenuti da nazioni come FIN6, NICKEL o Emissary Panda alias APT27 hanno messo gli occhi su asset critici di Active Directory, come il file NTDS.dit, l’account di servizio KRBTGT o i certificati AD, ottenendo l’accesso iniziale tramite phishing o sfruttamento delle vulnerabilità. Normalmente applicano strumenti standard e personalizzati per ottenere l’accesso al dominio sfruttando privilegi elevati. Dopo aver confermato una violazione, l’attenzione dei difensori dovrebbe essere sul blocco dell’accesso e sulla rotazione dei segreti del dominio per impedire ulteriori compromessi mentre gli ingegneri del rilevamento sono tenuti a dare priorità all’identificazione dei segni di persistenza del dominio.
Gli avversari sono dotati di una vasta gamma di tecniche di persistenza del dominio per compromettere l’ambiente mirato. Ad esempio, gli attaccanti con livelli di accesso amministrativo possono impegnarsi nel furto di credenziali utilizzando applicazioni per accedere al processo LSASS.exe. Sfruttando queste credenziali acquisite illegalmente, gli attori delle minacce possono modificare il loro contesto di esecuzione, permettendo loro di raggiungere risorse critiche e svolgere azioni che possono seriamente influenzare la continuità operativa di un’organizzazione. Ad esempio, possono applicare LOLbins nativi di Windows LOLbins, come il Task Manager per ottenere l’accesso a LSASS.exe con le autorizzazioni richieste e ulteriormente leggere la memoria virtuale di questo processo. Gli hacker possono anche puntare al file NTDS.dit delle organizzazioni nel tentativo di ottenere l’accesso o duplicare il file del database per raccogliere le credenziali richieste.
Gli attori maliziosi possono anche sfruttare la tecnica del golden ticket tramite manipolazione del protocollo Kerberos per aggirare il rilevamento e mantenere la persistenza nell’ambiente di dominio compromesso. Il protocollo di autenticazione Kerberos si basa su richieste di biglietti e concessioni per verificare gli utenti per le risorse remote. La password dell’account di servizio KRBTGT crea una chiave crittografica, che viene utilizzata dal KDC per firmare e crittografare i ticket de concessione (TGT) presentati per l’accesso alle risorse remote. Gli attaccanti possono quindi applicare questo TGT falso per autenticarsi. In alternativa, possono sfruttare la tecnica del diamond ticket, avendo l’opzione di manipolare un TGT emesso legittimamente dal controller di dominio, piuttosto che crearne uno proprio. Per quanto riguarda le tecniche di abuso dei certificati, gli hacker possono ottenere chiavi private dell’Autorità di Certificazione (CA) e produrre certificati fraudolenti firmati utilizzando la chiave rubata.
Gli attacchi di persistenza del dominio e le tecniche di avversari correlate si evolvono continuamente, incoraggiando i difensori a mantenere il polso sulle tendenze offensive emergenti pur rimanendo al passo con gli strumenti e le soluzioni che potenziano le capacità di difesa informatica all’interno del dominio. Sfrutta al massimo il Threat Detection Marketplace di SOC Prime per rimanere sempre un passo avanti e difendere proattivamente l’ambiente di dominio della tua organizzazione con contenuti di rilevamento curati arricchiti con metadati azionabili e continuamente aggiornati.
