Conecta con nosotros

Opinión

Cómo defenderse de ataques a Active Directory que no dejan huella

Publicado el

Los ciberdelincuentes están utilizando nuevas tácticas y técnicas para acceder a Active Directory, lo que hace que sus ataques resulten cada vez más peligrosos y sea más necesario detectarlos.  Uno de los aspectos más importantes de cualquier estrategia de ciberseguridad es la detección. Para poder responder con celeridad es fundamental tener la capacidad de detectar a los atacantes que entran en la red, se mueven dentro de ella o, lo que es peor, la administran. Y dada la media de días que permanece un atacante sin ser detectado en una red, unos 146 días, parece obvio que se les da muy bien trabajar sigilosamente.  

Cuando se trata de detectar acciones potencialmente maliciosas en Active Directory (AD), la mayoría de las organizaciones confían en la consolidación del registro de eventos del controlador de dominio y en soluciones SIEM para detectar inicios de sesión y cambios anormales. Todo esto funciona siempre que la técnica de ataque deje rastro en el registro.   

Se ha comprobado que ciertos tipos de ataques no dejan ninguna huella apreciable o, al menos, ninguna evidencia de actividad maliciosa. Algunos ejemplos: 

  • Ataque de DCShadow: este ataque utiliza la funcionalidad DCShadow de la herramienta de hackers Mimikatz. En primer lugar, registra un controlador de dominio (DC) no autorizado modificando la partición de configuración de AD. A continuación, el atacante realiza cambios falsos de carácter malicioso (por ejemplo, cambios en la pertenencia a grupos de administradores de dominio o incluso cambios menos obvios como añadir el SID del grupo de administradores de dominio al atributo sidHistory de un usuario normal en riesgo).  Esta técnica de ataque evita el registro tradicional basado en SIEM, pues el DC no autorizado no informa de los cambios. Los cambios se inyectan directamente en el flujo de replicación de los controladores de dominio de producción.  
  • Cambios en la directiva de grupo: un ataque documentado relacionado con el ransomware Ryuk dio lugar a cambios en un objeto de directiva de grupo que propagó la instalación de Ryuk a puntos de conexión remotos de la organización afectada. De forma predeterminada, los registros de eventos no incluyen detalles sobre lo que se ha cambiado en una directiva de grupo. Por tanto, si un atacante realiza un cambio malicioso (como en el caso de Ryuk), lo único que se ve es que una cuenta con acceso a la directiva de grupo ha realizado un cambio, lo que probablemente no desencadenará ninguna alarma. 
  • Ataque de Zerologon: tras la publicación de un código de vulnerabilidad de prueba de concepto, un atacante con acceso a la red de un controlador de dominio pudo enviar mensajes Netlogon especiales que consistían en cadenas de ceros, forzando la sustitución de la contraseña del ordenador del controlador de dominio por una cadena vacía. De este modo, sin inicio de sesión —es decir, con inicio de sesión cero— el atacante es ahora dueño del controlador de dominio, puede realizar cambios en AD y puede seguir utilizando esta vía para atacar otros sistemas de la infraestructura. Es poco probable que sus herramientas de monitorización vigilen cambios imprevistos de contraseñas en los DC. 

No es casualidad que estos ataques no dejen rastro. Están diseñados para eso. Los delincuentes dedican muchísimo tiempo a inspeccionar el funcionamiento exacto de sus entornos objetivo y a buscar formas de eludir, ofuscar y sortear cualquier forma de detección, incluido el registro.  Dada la existencia de este tipo de ataques, la pregunta es qué se puede hacer al respecto, tanto de forma proactiva como reactiva. 

Protección frente a cambios maliciosos en Active Directory

Hay tres maneras de proteger su organización frente a cambios maliciosos en AD: 

  • Vigile la presencia de cambios maliciosos en AD: esta tarea va más allá de SIEM e implica una solución de terceros diseñada para ver todos los cambios realizados en AD —independientemente de quién los haga, en qué DC, con qué solución, etc.—, en una situación ideal leyendo y entendiendo el tráfico de replicación de los propios DC. Esta monitorización debe incluir también los cambios en la directiva de grupo. En muchos casos, las soluciones diseñadas para monitorizar los cambios en AD pueden definir objetos protegidos específicos cuyos cambios deben monitorizarse, por ejemplo, cambios en la pertenencia en los administradores de dominio. De este modo, cada vez que se modifiquen estos objetos protegidos se activarán las alarmas. La solución debe cubrir tanto los cambios en las directivas de grupo como la visibilidad de la replicación.  
  • Busque el rastro de DCShadow: Mimikatz deja algunos artefactos a su paso y hay señales que indican que se ha utilizado DCShadow en la red. La comprobación periódica de la seguridad de AD debería incluir la búsqueda de estas señales en AD. Tenga en cuenta que si encuentra algún rastro de Mimikatz DCShadow en su entorno deberá actuar rápidamente, pues está siendo víctima de un ataque. En ese momento, le convendrá tener también una solución que le muestre qué cambios se han realizado en el nivel de replicación para analizarlos y, si es posible, revertirlos. 
  • Tenga capacidad para recuperar AD: su organización debe tener la capacidad proactiva de recuperar partes o la totalidad de AD si determina que se ha producido una vulnerabilidad. En algunos casos puede recurrir a copias de seguridad y a una estrategia de DR para recuperar AD en situaciones de ciberataque. Si necesita recuperar todo el servicio de AD, potencialmente como la próxima víctima de un ataque de malware, tenga en cuenta que una buena copia de seguridad del controlador de dominio no equivale a una recuperación rápida y fluida del servicio de AD. Le conviene practicar periódicamente todo el proceso de recuperación, siguiendo la completa «Guía de recuperación del bosque de Microsoft AD». Pero es igualmente válido recurrir a soluciones que reviertan los cambios hasta el nivel de atributos o incluso revertir automáticamente los cambios cuando se detecten para proteger los objetos.   

En la actualidad los ciberdelincuentes suelen adoptar la táctica de atacar Active Directory y modificarlo para que se adapte a sus intereses, hasta el punto de que quizá haya dejado ser práctico el antiguo modelo de monitorizar cambios en los eventos de auditoría de AD.

Las organizaciones que se toman en serio la seguridad y la integridad de su AD deben buscar otras formas de conseguir visibilidad de cada cambio en AD y tener capacidad para revertirlo o recuperarlo cuando sea necesario. 

Firmado: Nuno Antunes, director para España y Portugal de Semperis

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Lo más leído