Conteúdo de Detecção para Abordar Técnicas de Atacantes Cobertas na Pesquisa “Domínio dos Tronos: Parte I”
Índice:
As forças ofensivas estão continuamente à procura de novas maneiras de acessar o ambiente de domínio e manter sua presença aproveitando múltiplos vetores de ataque e experimentando com diversas ferramentas e técnicas de adversário. Por exemplo, eles podem tirar proveito de falhas de segurança reveladas, como no caso das tentativas de adversários de explorar a vulnerabilidade no Windows AD da Microsoft em meados da primavera de 2023, levando a potenciais ataques de escalonamento de privilégio.
Este artigo, baseado na pesquisa de Nico Shyne e Josh Prager obtém insights sobre as TTPs dos invasores utilizadas para ganhar e manter o acesso dentro de um ambiente de domínio, como roubo de credenciais no controlador de domínio, sincronização de configurações do Active Directory (AD), manipulação do protocolo de autenticação Kerberos e exploração de certificados. Para ajudar os defensores a impedir ataques relacionados, estamos compartilhando com colegas da indústria uma lista de conteúdos relevantes de detecção da Plataforma SOC Prime.
Detectando TTPs de Adversários Descritos na Série “Domain of Thrones: Parte I”
Os adversários estão constantemente em busca de novas maneiras de infiltrar-se e manter a persistência disfarçadamente dentro da rede organizacional. Com a persistência de domínio sendo um alvo atraente, os atores de ameaças aproveitam múltiplas técnicas de abuso do Kerberos para alcançar objetivos maliciosos. Os defensores cibernéticos devem manter um olhar atento para métodos de ataque em evolução a fim de identificar e prevenir intrusões nas primeiras etapas.
Para ajudar os profissionais de segurança a se manterem à frente dos ataques de persistência em domínios, a Plataforma SOC Prime oferece um conjunto dedicado de regras de detecção que abordam especificamente as principais técnicas de ataque, como roubo de credenciais em controladores de domínio, manipulações do protocolo Kerberos ou abuso do Active Directory.
Todas as detecções são compatíveis com 28 soluções de SIEM, EDR, XDR e Data Lake e estão mapeadas para o framework MITRE ATT&CK para agilizar a investigação de ameaças e reduzir o tempo na tradução de consultas entre plataformas. Além disso, cada item de detecção é acompanhado por metadados extensivos, incluindo links CTI, referências ATT&CK, configuração de auditoria, contexto de falso positivo e recomendações de triagem disponíveis através do Uncoder AI.
Clique no botão Explore Detections abaixo e aprofunde-se em um conjunto de regras Sigma curadas para otimizar suas operações de caçada de ameaças.
Visão Geral das Técnicas de Atacantes em “Domain of Thrones: Parte I”
Com os atacantes continuamente buscando maneiras de acessar e obter persistência no ambiente de domínio alvo, os defensores se concentram principalmente nos meios de acesso inicial do adversário. No entanto, eles podem negligenciar o estado do domínio após a violação que necessita de medidas de remediação imediatas. Devido ao número crescente de operações ofensivas que comprometem ambientes de domínio, os defensores estão preocupados com maneiras de recuperar o controle sobre o domínio impactado, restaurar a confiança e garantir que a eficiência operacional permaneça intacta.
Múltiplos coletivos de hackers patrocinados por nações como FIN6, NICKEL ou Emissary Panda aka APT27 colocaram seus olhos em ativos críticos do Active Directory, como o arquivo NTDS.dit, a conta do serviço KRBTGT ou certificados AD, obtendo acesso inicial por meio de phishing ou exploração de vulnerabilidades. Normalmente, aplicam tanto ferramentas padrão quanto personalizadas para ganhar acesso ao domínio aproveitando privilégios elevados. Após confirmar uma violação, o foco dos defensores deve ser bloquear o acesso e rotacionar segredos do domínio para evitar compromissos adicionais enquanto engenheiros de detecção devem priorizar a identificação de sinais de persistência de domínio.
Os adversários estão equipados com uma ampla gama de técnicas de persistência de domínio para comprometer o ambiente alvo. Por exemplo, atacantes com níveis de acesso de administrador podem se envolver em roubo de credenciais usando aplicativos para ganhar acesso ao processo LSASS.exe. Aproveitando essas credenciais adquiridas ilicitamente, os atores de ameaças podem modificar seu contexto de execução, permitindo-lhes acessar recursos críticos e realizar ações que podem afetar seriamente a continuidade dos negócios de uma organização. Por exemplo, eles podem aplicar LOLbinsnativos do Windows, como o Gerenciador de Tarefas, para ganhar acesso ao LSASS.exe com as permissões necessárias e, posteriormente, ler a memória virtual desse processo. Hackers também podem alvo o arquivo NTDS.dit das organizações visando obter acesso ou duplicar o arquivo do banco de dados em um esforço para coletar credenciais necessárias.
Os atores maliciosos também podem usar a técnica do golden ticket via manipulação do protocolo Kerberos para contornar a detecção e manter a persistência no ambiente de domínio comprometido. O protocolo de autenticação Kerberos confia em solicitações e concessões de tickets para verificar usuários para recursos remotos. A senha da conta de serviço KRBTGT cria uma chave criptográfica, que é usada pelo KDC para assinar e criptografar tickets de concessão de tickets (TGTs) apresentados para acessar recursos remotos. Os atacantes podem então aplicar esse TGT falso para autenticar. Como alternativa, eles podem aproveitar a técnica do diamond ticket tendo a opção de manipular um TGT emitido legitimamente do controlador de domínio, em vez de criar o próprio. Quanto às técnicas de abuso de certificados, hackers podem obter chaves privadas da Autoridade de Certificados (CA) e produzir certificados fraudulentos assinados usando a chave roubada.
Os ataques de persistência de domínio e as técnicas de adversários associadas estão em constante evolução, encorajando defensores a manter o pulso nas tendências ofensivas emergentes enquanto se mantêm atualizados com as ferramentas e soluções que aumentam a capacidade de defesa cibernética dentro do domínio. Aproveite ao máximo o SOC Prime’s Threat Detection Marketplace para sempre se manter à frente e defender proativamente o ambiente de domínio da sua organização com o conteúdo de detecção curado enriquecido com metadados acionáveis e continuamente atualizado.