Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo los atacantes explotan el Active Directory y Group Policy de Windows

[08/12/2020] Active Directory, que forma parte de Windows Server desde Windows 2000, es la base de muchos, muchos negocios. Permite a las empresas autenticar y autorizar a todos los usuarios y computadoras en un dominio de Windows. Group Policy proporciona una administración y configuración centralizadas de los sistemas operativos, las aplicaciones y los ajustes de los usuarios en un entorno de Active Directory. Permite a los administradores establecer muchas políticas y configuraciones de seguridad para hacer cumplir ciertas acciones y preferencias.

En otras palabras, permite a las empresas establecer normas en una organización. También permite a los atacantes identificar patrones en una red, así como utilizar las características de Group Policy para obtener más derechos. A menudo bromeo con que los atacantes saben cómo gestionar y mantener nuestras redes mejor que nosotros mismos.

Recientemente entrevisté a Darren Mar-Elia, vicepresidente de Semperis, a quien conozco desde hace muchos años como el gurú de Group Policy. Inicialmente, su enfoque fue asegurarse de que los profesionales de TI usaran y entendieran el poder del Active Directory (AD) y Group Policy. Con el tiempo se ha dado cuenta de que los atacantes están entendiendo el poder de Group Policy y silenciosamente ganando más derechos en la red.

Suponemos que los atacantes lanzan un ataque de phishing y toman inmediatamente el control de la red. A menudo, se ponen a la espera e investigan la red, tomándose el tiempo necesario para entender la estructura organizativa y las relaciones antes de lanzar los ataques. Los atacantes también se dirigen a los administradores y a quienes tienen control sobre los activos clave. El ataque público a Twitter es una prueba de que los atacantes se dirigen a los administradores y a las funciones que tenían control sobre determinadas tareas. Luego se aseguraron de poder asumir esas tareas y funciones.

Conocer las herramientas que utilizan los atacantes

Mar-Elia describió el número de herramientas de análisis que permitieron a los atacantes determinar qué políticas de Active Directory estaban activas y qué políticas se desplegaban en la red. Herramientas como PowerSploit son bien conocidas en la comunidad de atacantes, junto con BloodHound y Mimikatz. Estas herramientas son bien conocidas por los atacantes y les permiten comprender mejor su red, así como revisar las relaciones de los usuarios y los activos para determinar dónde se encuentran sus debilidades o quién tiene el control sobre los activos clave.

A menudo etiquetamos las unidades organizativas con nombres descriptivos que identifican a qué tiene derecho el grupo. Este proceso de identificación le da al atacante información clave que puede utilizar para atacar y dañar mejor su empresa.

Tómese el tiempo necesario para aprender más sobre BloodHound y otras herramientas similares que utilizan la teoría de gráficos para identificar la relación. Con BloodHound, puede identificar las rutas de ataque más cortas y los puntos débiles de su entorno que necesitan una atención extra, También le permite evaluar cuantitativamente las posibles mitigaciones o cambios propuestos, comparando su postura de seguridad entre dos puntos en el tiempo.

El Informe Microsoft Digital Defense Report publicado en septiembre del 2020, mostró que los atacantes utilizan RDP, sistemas vulnerables y configuraciones de aplicaciones débiles para obtener inicialmente acceso a los sistemas. Luego utilizan varios procesos como Mimikatz, LSA Secrets y varios ataques de credenciales para obtener una autorización. Luego, utilizan herramientas como Cobalt Strike, WMI, herramientas de gestión y PSExec para realizar movimientos laterales. Varios rescates han usado Group Policy para ganar más persistencia en la red. Como se señaló en un post de Semperis sobre varios ataques basados en Group Policy, los atacantes utilizaron objetos de Group Policy e "insertaron Ryuk en el script de inicio de sesión de AD, infectando a todos los que iniciaron sesión en ese servidor de AD".

Mar-Elia también indicó que una reciente cepa de software de rasomware fue "observada usando la parte de SYSVOL en los controladores de dominio de AD para propagarse por todo el entorno". Acceder al recurso compartido de SYSVOL, que se utiliza para entregar scripts de políticas y de inicio de sesión a los miembros del dominio, normalmente requiere privilegios elevados e indica un compromiso serio de AD".

Cambios en la política del grupo de auditoría

Una forma clave de proteger mejor su red, declaró Mar-Elia, es auditar y revisar quién tiene la capacidad de editar y enlazar con los objetos de Group Policy. Con demasiada frecuencia las organizaciones no segregan y protegen los activos administrativos. No marcamos y auditamos cuando se hacen cambios en la política del grupo en la organización. Hemos delegado demasiado control sobre las políticas de grupo en funciones y posiciones que los atacantes encuentran luego durante sus investigaciones, y utilizan para eliminar los firewalls, ajustar los derechos de los usuarios y crear vías de movimiento en las organizaciones. No revisamos ni vigilamos estos cambios.

Hay muchas maneras de auditar los cambios de Group Policy. Puede configurar la auditoría manualmente con varias configuraciones, o puede buscar productos de terceros para que le proporcionen informes. La clave es ser alertado cuando algo sucede en su entorno. Acciones como que un usuario sea elevado a administrador de dominio no son normales. Los cambios en la protección de AppLocker no son normales, y solo deben realizarse con los procesos de gestión de cambios adecuados.  

Probar la recuperación del controlador de dominio

Mar-Elia también discutió el impacto del rasomware en la forma en que las empresas establecen la protección y las copias de seguridad de su red. La ahora infame historia de la destrucción del rasomware es la empresa de transporte de Maersk. Ellos consideraban los controladores de dominio como prescindibles y recuperables con solo poner en pie otro controlador de dominio cuando era necesario. Sin embargo, cuando el rasomware atacó la red de Maersk, no tenían ninguna recuperación viable de su estructura de AD más que un controlador de dominio fuera de línea en una ubicación remota. Tuvieron que traer físicamente el controlador de dominio solitario y limpio a la red para recuperar el dominio.

Piense en su propia infraestructura de Active Directory. Si (o, mejor dicho, cuando) su red es atacada por un rasomware, ¿tiene las herramientas y técnicas necesarias para determinar primero si su controlador de dominio puede ser recuperado sin reintroducir la infección, o si puede ser recuperado en una infraestructura alternativa? Un estudio realizado en el 2020 reveló que, aunque el 97% de las organizaciones encuestadas dijo que el AD es de misión crítica, más de la mitad nunca probó realmente su proceso de recuperación de desastres cibernéticos, o no tenía ningún plan en marcha. Este descubrimiento es alarmante, dado el aumento de los ataques rasomware y el impacto generalizado de una interrupción del AD. Revise sus opciones y capacidades para recuperarse de un ataque. Es cuestión de cuándo, no de si.