Атака на Active Directory позволяет внедрить вредоносный контроллер домена

Исследователи безопасности Бенджамин Делпи (Benjamin Delpy) и Венсан Ле Ту (Vincent Le Toux) продемонстрировали атаку на Microsoft Active Directory, позволившую им внедрить собственный контроллер домена в уже существующие настройки корпоративной сети предприятия. Атака, получившая название DCShadow, была представлена на прошлой неделе на конференции Blue Hat в Израиле.

DCShadow позволяет атакующему создать в среде Active Directory поддельный контроллер домена и с его помощью распространять вредоносное ПО. «Желающим узнать, в чем секрет фокуса, рассказываю. DCShadow использует DrsReplicaAdd (DRSR 4.1.19.2) для запуска репликации. Атрибут replTo контроллера домена модифицируется и инициирует немедленную репликацию. ReplicaSync не запускает репликацию, поскольку replTo не установлен», - пояснил Ле Ту.

Специализирующийся на Active Directory ИБ-эксперт Люк Делсалле (Luc Delsalle) более подробно разобрал представленную исследователями атаку. По его словам, идея создания поддельного контроллера домена не нова и уже не раз упоминалась в различных публикациях на тему безопасности. Однако раньше для этого приходилось использовать инвазивные техники (например, настраивать виртуальную машину под управлением Windows Server) и авторизоваться в обычном контроллере домена, для того чтобы превратить виртуальную машину в контроллер атакуемого домена.

Подобную атаку легко заметить, сообщил Делсалле. По его словам, представленная Делпи и Ле Ту атака должна «модифицировать базу данных инфраструктуры атакуемой Active Directory для авторизации вредоносного сервера для процесса репликации». В ходе атаки DCShadow создается новый сервер и объекты nTDSDSA (согласно описанию Microsoft, представляют собой агент репликации для обработки протокола Directory Replication Service).

Изменение происходит в привилегированной среде, поэтому для осуществления атаки требуется контроль над созданием серверов и инициированием репликации. Как пояснил Делсалле, Делпи и Ле Ту смогли «изолировать минимальный набор SPN, необходимых для процесса репликации». В ходе исследования выяснилось, что для подключения другого контроллера домена к вредоносному серверу требуется два SPN.

Затем атакующий может зарегистрировать в среде репликации контроллер домена, аутентифицированный другим контроллером домена. Инициировав процесс репликации с IDL_DRSReplicaAdd RPC, злоумышленник сможет установить бэкдор путем добавления нового члена в административную группу или настройки истории SID в контролируемой учетной записи пользователя.

Источник