מה זה DCShadow¶
רוב התקיפות על Active Directory מסתמכות על גניבת מידע קיים - hash, טיקט, סיסמה. DCShadow הולכת בכיוון שונה לגמרי: במקום לגנוב מידע, היא מנצלת את מנגנון השכפול (Replication) של הדומיין כדי לכתוב מידע חדש ישירות למסד הנתונים, תוך התחזות לבקר דומיין לגיטימי. זו אחת הטכניקות המתוחכמות ביותר בעולם תקיפת Active Directory, ולא בכדי היא נחשבת לכלי הסתרה עוצמתי במיוחד.
איך שכפול בין בקרי דומיין עובד בבסיס¶
בכל סביבת Active Directory עם יותר מבקר דומיין אחד, השינויים שמתבצעים בבקר אחד - הוספת משתמש, שינוי הרשאה, עדכון סיסמה - צריכים להגיע לכל שאר בקרי הדומיין. זה קורה דרך תהליך שכפול שמבוסס על פרוטוקול ייעודי בשם DRS (Directory Replication Service). בקרי דומיין סומכים אחד על השני במסגרת התהליך הזה - אם בקר דומיין "אומר" שיש לו שינוי חדש, שאר הבקרים מקבלים אותו כמהימן ומעדכנים את עצמם בהתאם.
איך DCShadow מנצל את זה¶
תוקף עם הרשאות מספיק גבוהות (בפועל, הרשאות ברמת מנהל דומיין או קרוב לזה) יכול לרשום זמנית מחשב שהוא שולט בו כאילו הוא בקר דומיין לגיטימי במערכת - לא באמת להפוך אותו לבקר דומיין מלא, אלא רק "להזדהות" ככזה מספיק זמן כדי לשכנע בקר דומיין אמיתי אחר לקבל ממנו שינויים. ברגע שזה מתרחש, התוקף יכול לדחוף כמעט כל שינוי שהוא רוצה - למשל הוספת הרשאות ל-ACL של משתמש, שינוי מאפיין רגיש, או אפילו הזרקת SID History - ישירות למסד הנתונים של הדומיין, כאילו זה שינוי רגיל ולגיטימי שהגיע משכפול תקין.
למה זו התקפה כל כך מסוכנת מבחינת הסתרה¶
הסיבה שDCShadow כל כך יעילה כתקיפת הסתרה היא שברוב הדרכים הרגילות ליצור שינוי בדומיין - למשל דרך כלי ניהול רגילים - השינוי נרשם בלוג האירועים הסטנדרטי. DCShadow עוקפת את זה כמעט לגמרי, כי מבחינת הדומיין השינוי לא הגיע מפעולת ניהול רגילה, אלא הגיע כביכול משכפול לגיטימי בין בקרי דומיין - סוג תעבורה שברוב הסביבות לא זוכה לאותה רמת ניטור כמו שינויים ישירים.
מה זה אומר בפועל מבחינת סיכון¶
DCShadow לא משמש בדרך כלל כשלב ראשון בתקיפה - הוא דורש הרשאות גבוהות מראש כדי לבצע. הערך האמיתי שלו הוא בשלב ההישרדות (persistence) וההסתרה: תוקף שכבר השיג שליטה משמעותית בדומיין יכול להשתמש בטכניקה הזו כדי להטמיע שינוי שקשה מאוד לזהות ולתעד בדיעבד, ולשמור לעצמו נתיב חזרה שקט לדומיין גם אחרי שהאירוע המקורי מתגלה ומטופל.
איך מזהים ומתגוננים¶
- ניטור תעבורת שכפול חריגה, במיוחד כזו שמגיעה ממחשב שלא מוגדר רשמית כבקר דומיין.
- הגבלה קפדנית של ההרשאות שנדרשות כדי לבצע שכפול (Replicating Directory Changes), ובקרה על מי מחזיק בהן.
- שימוש בכלי ניטור ייעודיים שמזהים דפוסי DCShadow ספציפית, מעבר לניטור לוגים סטנדרטי בלבד.
- ביקורת תקופתית של חברי קבוצות רגישות ושל הרשאות שכפול בדומיין.
איך לומדים את זה נכון¶
DCShadow הוא נושא מתקדם מאוד, שדורש הבנה עמוקה של מנגנון השכפול ב-Active Directory לפני שאפשר בכלל להבין למה ההתקפה עובדת. מי שרוצה לבנות את הבסיס הזה בצורה מסודרת יכול להתחיל מקורס בדיקות החדירות שלנו.
לסיכום¶
DCShadow ממחישה עד כמה תקיפת Active Directory מתוחכמת יכולה להיות רחוקה מהתמונה הפשוטה של "גניבת סיסמה". היא מנצלת אמון פנימי בין רכיבי המערכת עצמה, ומראה למה ניטור נכון של תעבורת שכפול הוא לא פרט טכני שולי אלא רכיב הגנה קריטי.
יש לכם שאלות על טכניקות הישרדות והסתרה מתקדמות? בואו לקהילה שלנו.