Investigadores exploran vectores de ataque de Energetic Directory



Los respondedores de incidentes que investigan los ataques dirigidos a Lively Directory analizan los métodos utilizados para obtener acceso, elevar los privilegios y controlar los sistemas de destino.

Lively Listing es una superficie de ataque masiva y compleja que durante mucho tiempo ha sido un objetivo principal para los delincuentes que buscan privilegios y datos valiosos. Los respondedores de incidentes encuentran que el servicio está involucrado en la mayor parte de los ataques que investigan, lo que subraya los principales desafíos de seguridad para los defensores.

Anurag Khanna y Thirumalai Natarajan Muthiah, ambos consultores principales de Mandiant Consulting, han estado observando Lively Directory como un vector de ataque durante más de 10 años. Khanna estima que alrededor del 90% de los ataques que investiga su equipo involucran a Active Listing de alguna forma, ya sea el vector de ataque inicial o dirigido a lograr persistencia o privilegios.

Lively Listing existe desde Home windows 2000, pero se ha convertido en una prioridad tanto para los atacantes como para los defensores en los últimos años, dice.

«Han surgido otras tecnologías, pero la mayoría de las organizaciones con las que trabajamos todavía utilizan Active Listing como identidad principal», explica Khanna. «Y últimamente, la identidad se ha vuelto más importante a medida que nos adentramos en la nube, a medida que avanzamos hacia nuevos servicios».

En sus investigaciones de respuesta a incidentes, Khanna y Muthiah ven a los atacantes realizar una escalada de privilegios para moverse lateralmente, persistir en los entornos de destino y mezclarse. Las puertas traseras y las configuraciones incorrectas en los sistemas de Active Listing brindan a los atacantes privilegios a largo plazo. Algunos usan Energetic Directory para implementar ransomware en sistemas de todo el dominio, agrega Muthiah.

«Por lo tanto, no se trata solo de llegar a las joyas de la corona para extraer solo los datos los atacantes también están utilizando Energetic Listing como una técnica para vivir fuera de la tierra para impulsar binarios a través de sistemas de todo el dominio», dice.

Cuando se trata de métodos de ataque, los intrusos suelen tener varias opciones. Algunos obtienen acceso a través de la ingeniería social o el phishing algunas aprovechan vulnerabilidades o configuraciones incorrectas para acceder a Active Listing. En una técnica que ha observado Khanna, el atacante puede ajustar la configuración del registro para que la contraseña de una cuenta del sistema de Active Directory no cambie cada 30 días. Si la contraseña no cambia y el atacante ha robado el hash de la contraseña de la cuenta, esa persona puede acceder a la máquina con una táctica comúnmente conocida como ataque de ticket plateado, dice.

«Eso significa que durante un período de un año o dos años, dependiendo de cómo el atacante ponga esa puerta trasera, tienen acceso a esa máquina, y eso puede ser crítico», agrega Khanna.

(Khanna y Muthiah discutirán más sobre la detección de amenazas en su próxima sesión informativa de Black Hat Asia «,Caza de amenazas en el entorno de Energetic Directory, «el jueves 6 de mayo).

Debido a que Energetic Directory es una gran superficie de ataque con muchas partes móviles, generalmente no es difícil para un atacante tener éxito, dice Khanna. Los investigadores aconsejan a los equipos azules que no reaccionen y esperen a que un incidente lively una alerta y, en su lugar, realicen su propia búsqueda de amenazas y busquen configuraciones erróneas, puertas traseras y señales de que un atacante ha accedido a su entorno.

«Las organizaciones están haciendo un mejor trabajo en la detección de cosas que son maliciosas, en términos de malware y lo que están haciendo los atacantes», explica. «Pero los problemas de configuración, las técnicas de vivir fuera de la tierra, todavía son muy, muy difíciles de detectar».

Microsoft ha incorporado nuevas características de seguridad de Energetic Directory a lo largo del tiempo, señalan, pero a muchas empresas les lleva un tiempo actualizar sus sistemas y ponerse al día. Es posible que algunos no tengan equipos de seguridad dedicados y carezcan de los recursos para enfocarse fuertemente en Lively Listing otros aún pueden ejecutar aplicaciones heredadas que les prohíben actualizar a las nuevas versiones que vienen con características de seguridad incorporadas adicionales.

«Vemos organizaciones en las que los equipos azules saben que les faltan funciones de seguridad simplemente porque no migraron una aplicación heredada debido a varios desafíos», dice Muthiah, señalando que es un problema común. «Definitivamente, muchos clientes todavía se apegan a las aplicaciones heredadas y por eso no pudieron habilitar muchas funciones de auditoría en Active Directory».

Además de la búsqueda activa de amenazas, Khanna insta a las organizaciones a adoptar la autenticación multifactor: «seguimos trabajando con organizaciones que no tienen MFA habilitado en servicios externos, en sus servicios de correo electrónico M365», dice, y usan contraseñas de administrador locales únicas. Muchas organizaciones todavía usan la misma cuenta de administrador area en una gran flota de sus sistemas si se ve comprometido, esto podría permitir a los atacantes moverse lateralmente de una máquina a otra.

La implementación de estos pasos, ambas mejores prácticas ampliamente conocidas, puede mejorar «drásticamente» la postura de seguridad de Energetic Directory de una organización, dice Khanna. Si bien las empresas están haciendo un mejor trabajo al debatir y proteger Active Listing en comparación con hace 10 años, todavía queda mucho trabajo por hacer.

Kelly Sheridan es la editora de personalized de Darkish Looking through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first