劫持者可以繞過 Active Directory 控制機制

「DCShadow」攻擊讓攻擊者可以添加自己的控制器，因而搞一些破壞。

兩名安全研究人員近日演示了針對Active Directory發動的攻擊，這種攻擊讓他們可以將自己的域控制器添加到現有的企業級安裝環境中。

來自法國的這兩名研究人員是開發密碼提取神器Mimikatz的本傑明?德爾派（Benjamin Delpy）和文森特?勒圖（Vincent Le Toux），上周他們倆在以色列召開的微軟藍帽（Blue Hat）大會上展示了這種名為DCShadow的攻擊。

DCShadow讓攻擊得以在Active Directory環境下創建一個惡意的域控制器，並用它來推送惡意對象。

結果怎樣？勒圖在Twitter上發布了總結：

推文翻譯如下：

有些讀者想知道其中的奧妙，有必要解釋一下，DCShadow使用DrsReplicaAdd（DRSR 4.1.19.2）來觸發複製。它改動DC的repITo屬性，觸發立即複製。

ReplicaSyc並不觸發複製，原因是repITo未被設置。

專門研究Active Directory的安全研究人員盧?德爾薩勒（Lu Delsalle）的演示文稿：

德爾薩勒解釋道：「惡意的域控制器不是什麼新的想法，在之前的安全出版物中已被多次提及，不過需要侵入性的技術（比如安裝裝有Windows Server的虛擬機），還需要登錄常規的域控制器（DC），將虛擬機提升為目標域的DC。」

這很容易被發現，於是德爾薩勒寫道，德爾派和勒圖描述的這種攻擊必須「改動目標AD基礎設施資料庫，授權惡意伺服器是複製過程的一部分。」

他繼續寫道：「『DCShadow』攻擊實施的主要行動是，在資料庫模式（schema）的Configuration（配置）分區中創建一個新的伺服器和nTDSDSA對象。」按照微軟的描述，nTDSDSA是負責處理目錄複製服務協議的複製代理。

不過，這種變化發生在特權環境下，所以攻擊需要設法繞過創建伺服器和啟動複製方面的控制機制。德爾薩勒解釋道，德爾派和勒圖能夠「隔離複製過程完成所需要的最小集SPN（服務主體名稱）。他們的研究結果表明，需要兩個SPN讓另一個DC可以連接到惡意伺服器」――這些是DRS服務類別（它有眾所周知的GUID E3514235-4B06-11D1-AB04-00C04FC2DCD2）以及Global Catalog服務類別（它有字元串「GC」）。

之後，攻擊者成功註冊進入到複製環境的域控制器，並由另一個域控制器對它進行身份驗證。

最後一步是強制完成複製步驟，使用IDL_DRSReplicaAdd RPC，讓攻擊者得以將後門植入到域，比如只需要「為管理組添加新成員，或者為受控制用戶帳戶設置SID歷史記錄。」

勒圖在Twitter中特別指出：是可以挫敗這種攻擊的。

推文翻譯如下：

解決方法如下：

－在推送後移除ntdsa對象――檢測到存在該對象是不可靠的。

－複製不是由KCC來觸發，而是通過改動repITo來觸發。

－DC SPN由AddEntry來設置（4.1.1.2.3 CreateNtdsDsa）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！