לדלג לתוכן

מבוא ל-BloodHound - הכלי שחושף את הדרך הקצרה ל-Domain Admin

בכל ארגון עם רשת Windows גדולה יש Active Directory - המערכת שמנהלת משתמשים, קבוצות, הרשאות, ואמון בין מחשבים. הבעיה היא שברוב הארגונים, האקטיב דיירקטורי הזה מכיל אלפי הרשאות ויחסי אמון שנוצרו במשך שנים, אף אחד לא זוכר בדיוק למה, ואף אחד לא באמת יודע להסביר אותם במלואם. בתוך הבלגן הזה מסתתרים נתיבי תקיפה שלמים - שרשראות של הרשאות קטנות שביחד מובילות ממשתמש רגיל לגמרי, ועד לשליטה מלאה בכל הדומיין. הכלי שחושף את הנתיבים האלה נקרא BloodHound.

הבעיה שהופכת את BloodHound לכל כך חשוב

Active Directory לא בנוי סביב הרשאה אחת גדולה שמעניקה שליטה מלאה. הוא בנוי סביב אלפי הרשאות קטנות - מי חבר באיזו קבוצה, למי יש הרשאה לאפס סיסמה של מי, איזה שרת סומך על איזה שרת אחר. כל הרשאה בודדת נראית תמימה לגמרי בפני עצמה. הבעיה מתחילה כשמצרפים אותן יחד - לפעמים שרשרת של חמש הרשאות "תמימות" נפרדות מובילה בדיוק לשליטה מלאה בדומיין, ואף אחד לא רואה את זה כי הן פזורות בין הגדרות שונות שאף אחד לא בודק ביחד.

תוקף אנושי שינסה לעקוב אחרי הקשרים האלה ידנית פשוט יטבע בכמות המידע. יש מכניזם ב-BloodHound שהופך את זה לפתיר.

איך BloodHound אוסף מידע ומציג אותו

התהליך מתחיל באיסוף נתונים. כלי איסוף כמו SharpHound מתחבר לסביבת Active Directory ואוסף מידע גולמי - אילו משתמשים קיימים, מי חבר באיזו קבוצה, אילו הרשאות יש למי, ולאן מחוברות סשנים פעילים. המידע הזה, כמות עצומה שלו, מוזן לתוך BloodHound, שמציג אותו כגרף חזותי - כל משתמש, קבוצה, ומחשב הוא נקודה, וכל הרשאה או קשר היא חץ בין שתי נקודות.

הקסם קורה כשמבקשים מהגרף למצוא "נתיב קצר ביותר" בין נקודת התחלה - למשל, משתמש רגיל שכבר יש לכם גישה אליו - לבין יעד סופי, בדרך כלל קבוצת Domain Admins. BloodHound עובר על כל השרשראות האפשריות של הרשאות, ומראה בדיוק את הדרך הקצרה ביותר, גם אם היא עוברת דרך חמש קפיצות שונות שאף אחד מעולם לא היה מגלה ידנית.

למה תוקפים משתמשים בזה - ולמה מגנים חייבים גם כן

מבחינת תוקף, זה כלי שהופך שלב שהיה יכול לקחת ימים של חקירה ידנית, למשהו שלוקח דקות. במקום לנחש איפה חבויה החולשה, יש מפה ברורה של הדרך הקצרה ביותר לשליטה מלאה.

אבל כאן טמון הרעיון החשוב באמת - הדרך היחידה להגן על ארגון מפני הכלי הזה, היא להריץ אותו על עצמכם קודם. אם התוקף יכול למצוא את הנתיב ל-Domain Admin בעזרת BloodHound, גם צוות ההגנה יכול, ואם הוא מוצא אותו קודם, אפשר לסגור אותו לפני שמישהו מנצל אותו בפועל. בהערכות אבטחה מקצועיות ל-Active Directory, הרצת BloodHound על הסביבה כדי לזהות ולתעדף נתיבי תקיפה קריטיים היא כיום שלב סטנדרטי, בדיוק כמו סריקת חולשות רגילה.

שימוש הגנתי - איך סוגרים נתיבי תקיפה

אחרי שמזהים נתיב תקיפה בגרף, בדרך כלל אין צורך "לתקן" את כל השרשרת - מספיק לשבור חוליה אחת כדי לנטרל את הנתיב כולו. זה יכול להיות הסרת הרשאה מיותרת שנשארה משנים, הגבלת קבוצה שקיבלה יותר מדי כוח בטעות, או ניקוי סשנים ישנים שנשארו פתוחים על מחשבים שאסור שיהיו להם. הצוותים המנוסים ביותר מריצים ניתוח כזה באופן תקופתי, לא רק פעם אחת, כי כל שינוי קטן בהרשאות עלול לפתוח נתיב תקיפה חדש בלי ששמים לב.

למה כדאי להבין את זה גם אם אתם עדיין בהתחלה

Active Directory הוא אחד התחומים המורכבים והחשובים ביותר בעולם אבטחת הארגונים, ו-BloodHound הוא דרך מצוינת להבין איך הרשאות ואמון מצטברים למשהו הרבה יותר גדול מסכום החלקים שלהם. אם אתם רוצים להעמיק בתחום הזה כחלק ממסלול מסודר שמכסה גם תקיפה וגם הגנה, בקורס בדיקות חדירה אנחנו נוגעים בדיוק בסוג החשיבה הזה - איך למצוא את הדרך הקצרה ביותר בין מה שיש לתוקף למה שהוא רוצה.

לסיכום

BloodHound לוקח בעיה שהייתה בעבר בלתי נראית לגמרי - רשת הרשאות מסובכת שאף אחד לא רואה בשלמותה - והופך אותה לגרף ברור שאפשר לנתח, להבין, ולתקן. בין אם אתם בצד התקיפה או ההגנה, ההבנה של איך נתיבי תקיפה נבנים מהרשאות "תמימות" היא אחת התובנות החשובות ביותר בעולם אבטחת Active Directory.

הצטרפו לקהילה בדיסקורד