はじめに
以前、Red TeamサービスにおけるActive Directoryの攻略例の記事では、マルウェア感染などによりActive Directoryに属する端末が攻撃者に遠隔操作され、どのようにドメイン管理者が侵害されるのか解説しました。そこでは以下のようなケースを紹介しました。
- ドメイン管理者アカウントが不必要に多数存在する組織で単純なパスワードによりドメイン管理者権限が取得される
- プログラムコードに管理者パスワードが記載されている
- 共有領域に保存されたパスワード管理表からパスワードを取得される
- サービスアカウントがドメイン管理者として登録されている設定を悪用しオフラインでパスワードを解析しドメイン管理者権限を取得される
- ドメイン管理者アカウントがログインした端末からハッシュ値を取得されパスワードを解析される
本記事では標的型攻撃で必ず狙われるActive Directoryに対して、その設定内容の分析に焦点を当てたActive Directory Security Assessmentサービス(以下、ADSAサービス)を紹介したいと思います。
なぜActive Directoryなのか?
標的型攻撃や標的型ランサムウェア攻撃では、Active Directoryの侵害が一連の攻撃過程における最大のマイルストーンとなっています。Active Directoryは組織の端末やユーザーを一元管理する機能を持っているため、攻撃者がActive Directoryの管理者権限(ドメイン管理者アカウント)を取得すると、組織の全ユーザーや端末の設定を自由に制御できるようになります。実際に弊社で対応したインシデント事例においても、ドメインアカウントの設定や特権アカウントの管理に不備があり、Active Directoryを侵害されてしまい被害が甚大となったケースがありました。 従来は、境界防御により「いかにして組織内部への侵入を防ぐか」といったセキュリティ対策が行われていましたが、昨今の高度化されている標的型攻撃では、侵入を完全に防ぐことは非常に難しくなっており、侵入されたことを前提とした対策の必要性が高まっています。
Active Directory Security Assessmentサービスとは
上記のように侵入を前提とした対策が求められているなか、ADSAサービスでは以下を目的にお客様のActive Directory環境を調査します。
- セキュアワークスのインシデント対応の経験とRed Teamテストの知見から、Active Directoryのセキュリティレベルを効果的かつ効率的に評価する
- 検出される設定不備などを見直すことで、標的型攻撃で組織内部に侵入された場合でも、以降の攻撃による被害/リスクを低減する
本サービスでは、お客様ネットワークに攻撃者が侵入した場合にドメインの特権アカウントが悪用され大規模な侵害に発展するリスクや改善が必要なドメインのアカウント管理や設定を可視化します。具体的にはActive Directoryの設定情報・構成情報に基づき、攻撃者が侵害した場合にドメイン管理者アカウントの取得につながる可能性のあるアカウントやコンピューターを特定するサービスとなります。
以降では、ADSAサービスの内容を解説していきます。
Active Directory Security Assessmentサービスの内容
ADSAサービスでは大きくお客様実施のフェーズとセキュアワークスが分析する2つのフェーズに分かれています。
- フェーズ1:診断対象ドメインからの情報収集(お客様実施)
- フェーズ2:収集データの分析/報告書作成(セキュアワークス実施)
フェーズ1:診断対象ドメインからの情報収集(お客様実施)
最初にお客様にてセキュアワークスで用意したドメイン情報収集ツールを利用し分析用の情報を収集いただきます。収集ツールはRed Teamテストでも使用しているBloodHoundというツールをベースにしており、実際の攻撃者による偵察活動と同じ手法で、データ収集用端末から対象ドメインの構成情報やアカウント情報を収集します。なお、全システムへのソフトウェアインストールや、ツール実行後のクリーン作業は不要なため、お客様環境への負荷は非常に小さいものとなっています。
図1:データ収集ツール「Securehound」
図2:データ収集時のイメージ
※一部EDR等により情報収集の通信が検出される可能性があるため、データ収集ツールのホワイトリストへの登録が必要です
ドメイン情報収集ツールでは起動しているコンピューターから情報を収集するため、従業員が端末を起動している時間帯を想定し何度か実行いただくことを推奨しています。また、アクセス制限によりドメイン通信が到達できないネットワークがある場合は、アクセス可能なネットワークに収集用PCを設置しデータを収集します。可能な限り多数の端末と通信できる場所に設置することで効率的にデータを収集できます。 なお、収集データはセキュアワークス側でマージすることができますので、何度もデータを収集し、データが重複していても特に問題はありません。 本データ収集作業は1週間程度で実施いただくことを想定しています。
フェーズ2:収集データの分析/報告書作成(セキュアワークス実施) 取得いただいたデータをもとに、特権アカウントを侵害するリスク、その対象となるアカウント、及び侵害経路を分析し、報告書で報告します。 また、上記セキュリティリスクを分析し、原因となる設定や構成、及び推奨される改善項目も報告書で報告します。
以下に、具体的にどのようなことが判明するのか、3つほどサンプルを交え説明します。
【ドメイン管理者アカウントがSPNに紐づけられている問題】
掲題の通りドメイン管理者がSPNに紐づけられているため、パスワード解析に利用可能なデータを取得され、パスワードをオフライン攻撃で解析される可能性がある問題です。 サービス・プリンシパル名(SPN)とは、特定のアカウントとサービスを紐づけてActive Directory配下でKerberos認証を行うことで、サービスアカウント(サービスの稼働に利用するアカウント)として使用できるものになります。 このようなサービスでは、関連するシステムでの管理者権限が必要になることが多いですが、ドメインレベルの高い権限を設定してしまうと、サービスからドメイン参加しているシステムが制御できてしまいます。SPNに設定されているアカウントのパスワードデータ(パスワード解析に利用可能なデータ)はドメイン内であれば取得可能であるため、攻撃者がパスワード解析ツールを利用してサービスアカウントのパスワードをオフラインで解析できる可能性があります。 ドメインユーザーであればパスワード解析に利用可能なデータが取得可能であるため、SPNに紐づく全アカウントについて、強固なパスワードを設定することが非常に重要になります。
【全ドメインユーザーが権限の高いグループに属している問題】
全ドメインユーザーが権限の高いグループに属してしまっていたという問題です。 具体的には、全ドメインユーザーをPrint Operatorsグループのメンバーに含めている、などの例が挙げられます。Print Operatorsのメンバーはドメイン内のActive Directoryプリンタオブジェクトを管理することが可能であり、ドメインコントローラーにローカルでログオンし、シャットダウンすることが可能です。 グループがどのような権限を有しているか理解し、権限が高いグループに属するユーザーは必要最低限のユーザーにすることが必要となります。
【個人に紐づくユーザーにドメイン管理者の権限が割り当てられている問題】
個人に紐づくと思われるドメイン管理者アカウントが存在しているため、該当ユーザーが標的型攻撃攻撃メールやWebサイト経由で不正なファイルを開封するなどの可能性が高くなります。マルウェア感染により攻撃者がドメイン全体の管理者権限を取得することが可能です。これにより以下のような攻撃が行われる可能性があります。
- ドメインに属するあらゆるユーザーの追加・削除・設定変更
- ドメインに属する全端末へのマルウェア配布やランサムウェア実行
- ドメインに属する他端末に保存されている他ユーザーのドキュメントなどにアクセス
- ドメインに属する全端末をドメインから削除して貴行Windows 環境を破壊 など
ドメイン管理者アカウントは、個人ユーザーが使用するような日常業務で利⽤していないアカウントで使用することが推奨となります。
上記のように、管理者が把握できておらず攻撃を受けた場合に影響が拡大するような課題が見つかる可能性があります。
グループ/ユーザー/コンピューターの統計情報や、ドメイン管理者を侵害する経路が存在する場合は以下のような攻撃経路例も報告します。
画像を拡大して表示する
図3:ドメイン管理者を侵害する経路の例
本サービスにマッチするお客様
上記のような課題を洗い出すことができるため、以下を検討しているお客様には非常にマッチしたサービスとなります。
- 攻撃者が万が一ネットワークに侵入した際に自社で想定される被害範囲を把握したい
- 現在のドメインのアカウント管理や運用に問題が無いか確認したい
- 侵入を前提としたセキュリティ施策においての自社のレベルを把握したい
また、前回の記事でも紹介した、標的型攻撃を中心とするサイバー攻撃をシミュレーションして組織のインシデント対応能力(防御力・検知力・対応力)を訓練・評価する「Red Teamテスト」も提供しています。 ADSAサービスはActive Directory単体にフォーカスしていますが、「Red Teamテスト」ではActive Directoryは攻撃対象の1つであり、企事業継続に重要な情報が窃取されないかなど、人・プロセス・システム全体を評価します。より実践的な評価が必要な場合は「Red Teamテスト」もご検討ください。
図4:Red TeamテストとADSAサービスの領域
まとめ
Active Directoryの設定内容の分析に焦点を当てたActive Directory Security Assessmentサービスを紹介しました。本サービスは今年の5月に日本で提供を開始したサービスですが、セキュアワークスのUSチームでは既に提供しているサービスであり、多くの実績があるサービスです。さらに日本で提供する本サービスでは、より日本のお客様が必要である内容(課題の優先順位など)も盛り込み提供しております。 「Red Teamテスト」でよく見つかるActive Directoryの脆弱性を比較的安価に調査できるため、是非一度ご検討いただければと思います。
