7.4 תקיפת DCShadow הרצאה

מה זו התקפת DCShadow?¶

תקיפת DCShadow היא טכניקת התקפה בה התוקף משתמש בחיבור לגורם המחובר ל-Active Directory, על מנת להחיל שינויים בדומיין. השינויים יכולים לכלול יצירת חשבונות משתמשים חדשים, שינויי סיסמאות או אפילו יצירת קבוצות עם הרשאות גבוהות (כמו Domain Admins). למעשה, התקפה זו מבוססת על היכולת של Active Directory לקבל עדכונים מ-Domain Controllers באופן שמאפשר לתוקף לשתול שינויים בתוך הדומיין מבלי שתהיה עקבות ברורות לכך.

כיצד פועלת התקפת DCShadow?¶

במובן הפשוט ביותר, התוקף גורם לכך ששרת זדוני יתחיל להחיל שינויים בדומיין כאלו שמערכת ה-Active Directory חושבת שהם מגיעים מ-Domain Controller לגיטימי.

כדי לבצע התקפה כזו, התוקף משתמש ביכולות מיוחדות של Mimikatz, שמאפשרות לו לבצע את השינויים ישירות דרך פרוטוקול LDAP.

שלב 1: התקנת תוקף כ-DC¶

על התוקף להיות בעל גישה לחשבון בעל הרשאות גבוהות כמו Domain Admins או Enterprise Admins. אם לתוקף יש גישה כזו, הוא יכול לנצל את היכולת של DCShadow להחיל שינויים על ה-Domain Controller.

שלב 2: שינוי קונפיגורציה של Domain Controller¶

התוקף יפעיל את DCShadow על המחשב המפוקפק. זה יגרום למחשב לזייף את עצמו כ-Domain Controller, ומכאן יכול לבצע שינויים בצורה חופשית בתוך ה-Active Directory. ברוב המקרים, השינויים מבוצעים בצורה כזו שהם נראים לגיטימיים לחלוטין, דבר שמקשה מאוד על זיהוי התקפה.

שלב 3: הפעלת השינויים¶

התוקף יכול להחיל כל שינוי שיבחר בו – החל מיצירת משתמשים עם סיסמאות חזקים ועד הוספת המשתמשים לקבוצות כמו Domain Admins.

הדגמת התקפת DCShadow בעזרת Mimikatz¶

הכלי Mimikatz הוא אחד הכלים החזקים ביותר עבור תוקפים, ומסוגל לבצע שלל פעולות ב-Active Directory, כולל ביצוע התקפת DCShadow.

שלב 1: כניסה למערכת עם הרשאות גבוהות¶

כדי להפעיל את DCShadow, התוקף צריך להיות חבר ב-Domain Admins או Enterprise Admins.

שלב 2: הרצת הפקודה של DCShadow¶

לאחר שהתוקף הצליח לגשת למערכת עם הרשאות מספיקות, הוא מריץ את הפקודה הבאה כדי להפעיל את DCShadow:

mimikatz # dcshadow::create /domain:<שם_הדומיין> /dc:<כתובת_ה-Domain_Controller> /user:<שם_המשתמש> /password:<הסיסמה>

בפקודה זו:

/domain: שם הדומיין שאליו המחשב שייך.
/dc: כתובת ה-IP של ה-Domain Controller או שם המחשב.
/user: שם המשתמש שעליו התוקף רוצה להחיל את השינויים.
/password: הסיסמה של המשתמש שבאמצעותו יבוצע השינוי.

שלב 3: ייצור השינויים¶

לאחר שהתוקף מריץ את הפקודה, הוא יוכל להחיל שינויים על הדומיין, כולל יצירת משתמשים חדשים או שינוי סיסמאות של משתמשים קיימים, בצורה כזו שהשינויים ייראו לגיטימיים ויתועדו ביומני הרישום.

דוגמה נוספת בעזרת PowerShell¶

כמו כן, אפשר להפעיל את ההתקפה גם בעזרת PowerShell, כלי רישום נוסף של Windows. על התוקף להשתמש בפקודות מתקדמות בשילוב עם LDAP כדי ליצור חיבורים ל-Active Directory ולבצע שינויים ישירות.

Add-ADGroupMember -Identity "Domain Admins" -Members <שם_המשתמש>

בפקודה זו התוקף מוסיף את המשתמש לקבוצת Domain Admins, מה שיכול להעניק לו הרשאות ניהוליות ברשת.

הגנות נגד תקיפת DCShadow¶

ההגנה נגד תקיפת DCShadow דורשת שילוב של אמצעי אבטחה טכנולוגיים ומדיניות ניהולית:

הקשחת הרשאות לחשבונות בעלי גישה גבוהה: יש לוודא כי רק למספר מצומצם מאוד של משתמשים יש הרשאות Domain Admins ו-Enterprise Admins. כל חשבון עם הרשאות גבוהות יכול להוות סיכון משמעותי.
הפעלת Multi-Factor Authentication (MFA): במקרים של חשבונות בעלי הרשאות גבוהות, יש להחיל MFA** על מנת להוסיף שכבת הגנה נוספת שימנע את ניצול המידע במקרה של פגיעה בחשבון.
הגבלת גישת מחשבים זרים ל-Active Directory: יש לבצע פיקוח על המחשבים שמחוברים ל-Active Directory ולוודא שאין מחשבים או שרתים חיצוניים שמוגדרים כבעלי הרשאות דומיין.
מעקב אחרי שינויים ב-Active Directory: יש להפעיל מעקב אחרי שינויים ב-Active Directory, במיוחד כשמדובר בשינויים מרחיקי לכת כמו יצירת משתמשים חדשים או שינויי הרשאות.
הקשחת הגישה לחשבונות DC: חשוב להקשיח את הגישה לכלל ה-Domain Controllers ולוודא שאין אפשרות לבצע חיבור לא מורשה.