Segurança no Active Directory: melhores práticas para detectar ataques com o ADAudit Plus

O Active Directory (AD) é um serviço de diretório da Microsoft, amplamente utilizado por empresas ao redor do mundo para armazenar informações de gerenciamento de identidade e acesso (IAM), realizando a gestão de contas privilegiadas e do acesso na rede corporativa.

E é por isso que ele se torna uma mina de ouro para atacantes e invasores. Ataques bem-sucedidos dentro do AD podem comprometer toda a infraestrutura de TI da organização, resultando em prejuízos financeiros e vazamento de informações sensíveis.

No artigo de hoje, vamos entender como funcionam os principais ataques utilizados para acessar o Active Directory e como detectá-los a partir da solução ADAudit Plus. Continue lendo!

Como o Active Directory funciona?

O AD é como uma lista telefônica: ele guarda todas as informações de acesso de um usuário em um banco de dados centralizado.

Ao invés da empresa configurar manualmente cada dispositivo, componentes da infraestrutura ou os acessos de um novo funcionário, isso é feito em massa a partir do Active Directory.

Ele organiza todos os recursos em uma hierarquia para facilitar a administração:

• Objetos: pode ser um usuário, um computador ou uma impressora. Representam a menor unidade dentro do AD, mas cada objeto possui seus atributos — um usuário tem atributos como e-mail e nome, por exemplo;

• Unidades organizacionais (OUs): são "pastas" utilizadas para separar os objetos. Sua empresa pode ter uma pasta para objetos do departamento Financeiro e outra para o setor de RH;

• Domínio: onde todos os computadores e usuários de uma mesma rede (ex: empresa.com) compartilham o mesmo banco de dados do AD e as mesmas regras dentro desse domínio;

• Árvore (tree): é uma coleção de domínios que compartilham o mesmo nome raiz e uma estrutura de DNS adjacente (ex: empresa.com e suporte.empresa.com);

• Floresta (Forest): limite mais alto de segurança. Uma floresta pode conter árvores que não necessariamente são iguais (ex: se a empresa.com comprar a empresa.net, elas podem dividir uma mesma floresta).

Resumidamente, o papel do Active Directory é guardar informações de acesso, autenticar e autorizar cada usuário dentro da rede.

No entanto, é importante lembrar que o AD foi projetado há mais de duas décadas, quando o modelo tradicional de castelo e fosso ainda era considerado padrão.

Isso significa que, uma vez dentro do servidor, o AD vai julgar todos os usuários como confiáveis — e quando isso acontece, invasores têm passe livre dentro do sistema para modificar objetos e coletar informações de credenciais.

Detectando ataques dentro do Active Directory com o ADAudit Plus

Por desempenhar um papel de banco de dados, o Active Directory é um sistema muito atrativo para atacantes. Existem diferentes maneiras de invadir o servidor do AD ou de coletar informações de acesso dos usuários, fazendo com que criminosos se especializem nesses tipos de ataques.

Entenda quais são os principais e como o ADAudit Plus pode detectá-los:

Ataque de Powershell

O Powershell é uma ferramenta da Microsoft que permite automatizar tarefas administrativas e gerenciar configurações em massa. Ele combina um shell de linha de comando com linguagem de script, processando comandos e dados estruturados rapidamente.

No entanto, ele também funciona como uma maneira de ataque: criminosos o utilizam para injetar linhas de comando maliciosas, podendo mapear toda a rede ou roubar credenciais. Esse tipo de invasão passa despercebida por muitos antivírus, uma vez que eles entendem que as ações das ferramentas Windows são legítimas.

Nesse contexto, o ADAudit Plus faz toda a diferença na segurança do seu AD. Ele dispara alertas toda vez que um script, previamente bloqueado por administradores, tenta ser rodado dentro do sistema Windows.

O ADAudit Plus mostra o nome do usuário que digitou esse comando no Powershell, qual o caminho e nome do script, a máquina utilizada e o domínio em que se encontra. Isso ajuda a equipe de TI a tomar as medidas necessárias antes que o ataque seja bem-sucedido.

Ataques com processos suspeitos

Os malwares tentam se passar por processos legítimos dentro do Gerenciador de Tarefas do sistema Windows. Os processos são todas as aplicações e serviços que são executados no sistema operacional, como antivírus ou navegadores abertos.

No caso de malwares, eles podem atuar de diferentes maneiras:

• Sobrecarregando a CPU para minerar criptomoedas;

• Monitorando cliques e roubando dados, gerando atividades contínuas de leitura e gravação no disco rígido;

• Utilizando toda a memória do computador para torná-lo extremamente lento.

Seja qual for sua forma de ataque, o ADAudit Plus também reconhece processos suspeitos que estão sendo executados nos dispositivos dentro do domínio da empresa. Ele gera relatórios indicando o dispositivo onde um processo suspeito está sendo executado e seu nome.

Pass-The-Hash

Um hash é a representação irreversível da senha do usuário, sendo uma alternativa de segurança para sistemas não armazenarem sua senha em texto puro.

O ataque Pass-The-Hash é quando um atacante captura um hash de senha válido e o utiliza diretamente para se autenticar em outros computadores ou servidores da rede, sem necessidade de quebra de hash ou descoberta da senha original.

O invasor se aproveita de uma característica de protocolos de autenticação antigos/legados (como o NTLM; utilizado no Active Directory): o sistema aceita o hash como se ele fosse a própria credencial de validação.

Dentro do ADAudit Plus, é possível criar alertas personalizados para detectar possíveis ataques Pass-the-Hash, baseado na quantidade de tentativas de login por minuto. Outra opção é correlacionar eventos de falhas de logon.

Se o atacante tentar espalhar o hash coletado em várias máquinas da rede e algumas dessas contas estiverem desativadas ou restritas, você verá, dentro do ADAudit Plus, um aumento de falhas de logon partindo da mesma máquina de origem.

Pass-The-Ticket

Um ataque pass-the-ticket ocorre quando um invasor rouba um ticket de concessão de tickets (TGT) ou um ticket de serviço (TGS) do Kerberos para obter acesso não autorizado a sistemas e serviços dentro de uma rede.

O invasor obtém acesso inicial à rede e infecta uma máquina, para depois extrair todos os tickets Kerberos ativos.

Já que o Windows considera que todos os usuários dentro da rede são confiáveis, essa técnica permite que muitos atacantes passem despercebidos por serem entendidos como usuários autenticados dentro de sistemas.

Os recursos do Attack Surface Analyzer do ADAudit Plus contam com dashboards específicos que ajudam a detectar e responder a ataques pass-the-ticket em tempo real.

Isso é feito a partir do monitoramento contínuo dos eventos Kerberos em busca de padrões anômalos, como uso incomum ou reutilização de tickets, tickets com tempo de vida excessivo ou anomalias de logon.

Ataque de força bruta

Esse tipo de ataque ocorre quando um invasor tenta, sistematicamente, inúmeras combinações de senhas, geralmente a partir de uma lista de senhas comuns ou vazadas, para obter acesso não autorizado a uma conta de usuário.

Os criminosos utilizam bots e programas automatizados que conseguem gerar e testar inúmeras senhas ao mesmo tempo, até que a verdadeira seja encontrada. A partir disso, se a conta não possuir autenticação multifator (MFA), o atacante consegue acesso à conta.

O relatório de atividade anômalas de login, dentro do ADAudit Plus, pode indicar ataques de força bruta a partir de dois filtros principais: volume incomum de falhas de login e horário incomum de atividade de login.

Um pico de tentativas de login da mesma conta, feitas no mesmo minuto, indica que aquele usuário está sendo alvo de um ataque — e provavelmente, é um ataque de força bruta.

A partir dessas informações, é possível tomar medidas como bloquear o acesso daquele usuário ou redefinir a senha para uma mais forte.

User Behavior Analytics:  seu maior aliado dentro do ADAudit Plus

Uma das grandes forças do ADAudit Plus para detectar ataques e garantir a segurança do diretório é o User Behavior Analytics (UBA).

Os softwares baseados em UBA utilizam Machine Learning para aprender e detectar os dados de atividades de usuários em um ambiente de TI. O software estabelece padrões do que é considerado normal e, caso algo saia desse padrão esperado, ele dispara um alerta para a equipe.

Em outras palavras, ao invés de autenticar o acesso apenas com credenciais já conhecidas, ele revela outras ameças: contas com permissões elevadas autenticando-se em horários incomuns, funcionários exfiltrando dados e invasores se movendo lateralmente.

Isso permite que as empresas detectem ataques que poderiam passar despercebidos. Imagine que as credenciais do seu Active Directory foram roubadas e o invasor consegue acessar o diretório. Sem a análise do UBA, essa atividade não dispararia nenhum alerta — afinal, ele está utilizando credenciais verdadeiras e autenticadas dentro do AD.

Mas, como o invasor está em uma localidade diferente daquela que você costuma estar ou até mesmo em um horário diferente, o ADAudit Plus identifica como uma atividade anômala e notifica a equipe de TI imediatamente.

Essas atividades também podem ser identificadas em outras instâncias, como modificações de arquivos, execução de processos desconhecidos e gerenciamento de usuários.

O ADAudit Plus possui 31 relatórios dedicados ao UBA, cada um abrangendo uma categoria de atividade anômala distinta. Além disso, a ferramenta ainda conta com mais de 50 alertas pré-configurados que incluem cenários comportamentais que indicam diferentes tipos de ataques.

Detecte ataques de maneira proativa e se antecipe à qualquer ameaça com o ADAudit Plus! Faça o teste grátis da ferramenta por 30 dias clicando aqui.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.