Атака DCSync

атака на Active Directory

Для атаки DCSync необходимы специальные права. Любой член групп «Администраторы» и «Администраторы домена», а также учетных записей компьютеров контроллера домена может выполнить репликацию данных, используя протокол репликации каталогов DRS. Таким образом клиентский DC отправляет запрос DSGetNCChanges на сервер, когда хочет получать от него обновления объектов AD. Ответ содержит набор обновлений, которые клиент должен применить к своей реплике NC.

Еще по теме:

Можно выполнить DCSync с использованием обычной учетной записи пользователя. Но для этого одно из следующих правил должно быть делегировано на уровне домена, чтобы учетная запись пользователя могла беспрепятственно получать данные с помощью DCSync:

  1. DS-Replication-Get-Changes — это разрешение необходимо для репликации только тех изменений, которые также реплицированы в глобальный каталог.
  2. DS-Replication-Get-Changes-All — разрешение позволяет репликацию всех данных.

Члены групп «Администраторы» и «Контроллер домена» по умолчанию имеют эти права. После того как учетной записи делегирована возможность репликации объектов, учетная запись может использовать mimikatz DCSync:

DCSync с помощью mimikatz
DCSync с помощью mimikatz

Также при реализации данной атаки можно получить историю паролей учетной записи, точнее NTLM-хеши. Взлом этих хешей позволит понять логику выставления паролей, что, возможно, поможет угадать следующий пароль в случае замены.

Взлом хешей, полученных с помощью DCSync
Взлом хешей, полученных с помощью DCSync

Выполнить DCSync можно также с помощью imрacket удаленно, для чего нужны учетные данные.

DCSync с помощью imрacket
DCSync с помощью imрacket

Получение открытого пароля с помощью DCSync

Но что делать, если хеш пароля не взламывается?

DCSync после изменения пароля
DCSync после изменения пароля
Сложный для взлома хеш пароля
Сложный для взлома хеш пароля

Выход есть! Для учетных записей Active Directory существует устаревшая функция, которая называется «обратимое шифрование». Если включено обратимое шифрование, то зашифрованные данные могут быть возвращены обратно к паролю пользователя.

Если для учетной записи включено обратимое шифрование и пользователь меняет пароль после установки этой конфигурации, пароль в виде открытого текста сохраняется в базе данных Active Directory.

Оператор может создать новую группу ShareRoint и добавить все учетные записи домена с атрибутом AdminCount, установленным в 1.

Теперь нужно создать новую парольную политику.

Проверим, что атрибут ReversibleEncryptionEnabled установлен в True.

Парольная политика для ShareRoint
Парольная политика для ShareRoint

Теперь стоить применить парольную политику к новой группе.

Проверить, применилась ли парольная политика, очень легко.

Парольная политика для ShareRoint
Парольная политика для ShareRoint

Новая парольная политика обнуляет все стандартные параметры безопасности паролей домена. После смены пароля, которую инициирует оператор, все пароли администраторов будут храниться в открытом виде.

Пароль пользователя в открытом виде в результате DCSync
Пароль пользователя в открытом виде в результате DCSync

На этом все. Теперь вы знаете, что из себя представляет атака DCSync.

Еще по теме:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *