DCSync

O que é um ataque DCSync?

Um ataque DCSync ocorre quando invasores se passam por um controlador de domínio (DC) para obter informações confidenciais, como hashes de senha de contas de domínio, diretamente do AD. Esse tipo de ataque é extremamente perigoso, pois concede ao invasor acesso quase total à rede da organização.

Como o ataque funciona?

Em um ataque DCSync, o agente de ameaça explora o protocolo remoto do Directory Replication Service (DRS) para enganar um controlador de domínio, fazendo-o compartilhar dados confidenciais, como hashes de senha. O ataque ocorre em três etapas principais:

• Obtenção de privilégios: Primeiro, o invasor encontra uma forma de adquirir permissões elevadas no AD, geralmente obtendo direitos de Domain Admin ou Enterprise Admin, que são necessários para acessar os recursos de replicação.
• Solicitação de replicação: Em seguida, o invasor utiliza ferramentas como Mimikatz para solicitar a replicação dos dados do AD. Ao fingir ser um DC legítimo, ele explora o próprio processo de replicação do AD.
• Extração de dados: Agindo como um DC, o invasor pode então extrair informações sensíveis, como hashes de senha, que podem ser decifrados offline ou usados diretamente para se autenticar em todo o domínio. Isso lhe concede acesso não autorizado a recursos em toda a rede.

Como se proteger contra ataques DCSync?

Proteger-se contra ataques DCSync exige práticas de segurança mais rigorosas, monitoramento constante do AD e controles de acesso restritivos. A seguir, quatro medidas essenciais para reduzir os riscos desse tipo de ataque:

Limite o acesso privilegiado

• Restrinja grupos de alto privilégio, como Domain Admins e Enterprise Admins, apenas a pessoal essencial.
• Utilize gerenciamento de acesso privilegiado para aplicar o acesso just-in-time, concedendo privilégios elevados apenas quando estritamente necessário.
• Implemente um modelo de acesso em camadas, organizando as contas administrativas por função e nível de segurança.
• Aplique segmentação de rede para controlar onde as contas privilegiadas podem efetuar login.

Habilite e monitore logs

• Ative políticas avançadas de auditoria para monitorar eventos como ID 4662 (acesso a objetos sensíveis) e ID 4624 (eventos de logon).
• Utilize soluções abrangentes de auditoria do AD para detectar solicitações de replicação incomuns, como quando uma estação de trabalho tenta realizar operações de DCSync.

Implemente proteção de credenciais

• Use contas de serviço gerenciado (MSA) e contas de serviço gerenciado de grupo (gMSA) para proteger contas de serviço.
• Utilize a solução de senha de administrador local (LAPS) para gerenciar senhas de administradores locais.
• Ative a criptografia AES no Kerberos para reforçar a segurança nas trocas de tickets.
• Altere regularmente as senhas da conta KRBTGT, reduzindo o impacto de Golden Tickets em caso de comprometimento.

Capacite e teste

• Realize treinamentos frequentes de conscientização em segurança para orientar usuários privilegiados sobre boas práticas de segurança no AD.
• Conduza simulações de ataque para testar a eficácia das defesas contra o DCSync e outros ataques relacionados ao AD.

Como o ADAudit Plus ajuda a detectar ataques DCSync?

Os recursos do Attack Surface Analyzer do ADAudit Plus contam com dashboards específicos e relatórios especializados que ajudam a detectar e responder a ataques DCSync em tempo real. Com base em regras exclusivas derivadas da estrutura MITRE ATT&CK, ele fornece insights detalhados sobre ameaças e permite investigar ataques potenciais de DCSync com apenas alguns cliques.