Active Directory (AD) najčešće se koristi u poslovnim okruženjima kako bi se pojednostavilo centralizirano upravljanje korisnicima i uređajima, kontrolirao pristup podacima i provodile sigurnosne politike organizacije. Možete ga zamisliti kao opsežnu bazu podataka u kojoj su pohranjeni svi podaci o uređajima i korisnicima, uključujući njihova imena, lozinke i prava pristupa raznim resursima informacijskog sustava, poput datoteka i aplikacija.

Upravo su podaci ono što u organizaciji treba zaštititi, zbog toga organizacije često implementiraju mjere kao što je Tier Model. Ovaj model organizira dijelove sustava u tri razine (engl. Tiers) prema njihovoj važnosti i osjetljivosti jer ne mogu sve informacije biti jednako bitne. Ono što je najvažnije za organizaciju odvaja se u Tier Zero, i tamo se primjenjuju najstrože sigurnosne kontrole. Na taj način organizacije mogu učinkovitije upravljati sigurnosnim rizicima i osigurati adekvatnu zaštitu ključnih resursa.

Dio Active Directory servisa je i Active Directory Certificate Services (ADCS) koji nam omogućava stvaranje, izdavanje i upravljanje digitalnim certifikatima, čime pomaže u implementaciji sigurnosnih funkcija kao što su kriptiranje podataka i autentifikacija korisnika. Također, od iznimne je važnosti za upravljanje identitetima stoga je i njega potrebno smjestiti u Tier Zero. Jer njegovom kompromitacijom, napadač može dobiti kontrolu nad cijelim sustavom, što ga čini primarnim ciljem za ransomware napade.

Kako napadači koriste Active Directory tijekom ransomware napada

Česta zabluda o ransomware napadima je da su brzi: netko otvori zaraženi email ili koristi zaraženi USB uređaj, i u nekoliko minuta podaci su šifrirani, a na svim ekranima se prikazuje zahtjev za otkupninu. Stvarnost je drugačija. Današnji ransomware napadi su često složeni i metodični. Tako napadači, da bi šifrirali što više osjetljivih informacija i povećali šanse za visoku isplatu, provode napad u dvije faze. Prvi im je korak pronalazak ulazne točke kako bi dobili pristup vašoj mreži, a neke od čestih taktika su kompromitiranje korisničkih vjerodajnica Active Directoryja pomoću phishinga ili pogađanjem lozinki.

U drugoj fazi napadači moraju proširiti domet jer s običnim korisničkim računom imaju ograničen pristup, stoga traže ranjivosti u Active Directoryju koje mogu iskoristiti za eskalaciju prava. Jedna taktika je dodavanje svog računa u sigurnosne grupe s većim dozvolama, dok je druga mogućnost kompromitiranje drugih korisničkih računa koji već imaju privilegirane pristupe, primjerice, dobivanjem spremljenih admin lozinki na računalu koje već kontroliraju (eng. credential dumping).

Kad napadač kontrolom ili kompromitiranjem Active Directoryja dobije pristup svim, ili barem gotovo svim podacima koji uključuju i backup, pokreće kriptiranje podataka. Često prije šifriranja kopiraju podatke kako bi prijetili njihovim objavljivanjem. Također pokušavaju kriptirati ili izbrisati podatke iz sigurnosnih kopija kako bi žrtve bile spremnije platiti otkupninu.

Jonas Bülow Knudsen, stručnjak iz područja sigurnosti koji se bavi sustavom Active Directory, ističe kako alat BloodHound igra ključnu ulogu u otkrivanju ranjivosti Active Directory Certificate Services (ADCS).

Zaštita Active Directoryja, prema Jonasu Bülowu Knudsenu, zahtijeva sveobuhvatan pristup koji uključuje razumijevanje napadačkih putanja, proaktivno upravljanje certifikatima, primjenu sigurnosnih najboljih praksi, i korištenje alata za analizu i odgovor na napade.

Više o samom ADCS-u, različitim načinima napada koji proizlaze iz različitih konfiguracija ADCS-a i o tome kako ih se može identificirati govorit će Bülow Knudsen na nadolazećoj konferenciji Span Cyber Security Arena koja će u Zagrebu 4. studenoga okupiti vodeće domaće i svjetske stručnjake iz područja kibernetičke sigurnosti.