Active Directory (AD), Windows ortamlarında kimlik doğrulama ve yetkilendirmenin temeli olmaya devam etmektedir. NTDS.DIT veritabanını hedefleyen tehdit aktörleri her etki alanı kimlik bilgilerini toplayabilir, yanal hareketin kilidini açabilir ve tam alan uzlaşmasını sağlayabilir.
Saldırganlar, standart savunmaları atlayarak NTDS.DIT’i boşaltmak ve dışarı atmak için yerel pencerelerden yararlandı.
Bu davadaki düşman, başarılı bir kimlik avı kampanyası ve müteakip ayrıcalık artışı yoluyla etki alanı yönetici ayrıcalıkları elde etti. Yükseldiğinde, yürüttüler:
Bir Birim Gölge Kopyası oluşturmak ve NTDS.DIT’i, dosya kilitlerini sessizce atlayarak. Sistem kovanı elde edildiğinde, saldırganlar emirden sekrets dump.py kullanarak veritabanını çevrimdışı şifre çözdü:
Bu zincir, geleneksel uç nokta alarmlarını tetiklemeden tüm etki alanı hesapları için NTLM ve AES karmalarının hasat edilmesini sağladı.
Dökümü tar -czf ntds.tar.gz ile arşivledikten ve sıkıştırdıktan sonra, saldırganlar SMB üzerinden verileri uzlaşmış bir dosya paylaşımına söndürdüler.
Trellix, bu etkinliği iki yüksek maddi imza ile tespit etti: temel hacmini aşan anormal KOBİ yazma desenleri ve büyük NTDS dosya transferleri için özel bir pesfiltrasyon imzası.
Davranışsal algılama, bakım pencerelerinin dışında çalışan beklenmedik esentutl işlemleri ve gölge kopyasında tetiklenen protokol anomali uyarıları C: \ $ VolumeshAdowcopy’ye okur.
Trellix Wise aracılığıyla, AI güdümlü uyarı korelasyonu, VSS oluşturulmasından SMB yüklemesine ilerlemeyi vurguladı, analist iş yükünü% 60 azalttı ve ortalama (MTTD) tespit için% 45 azalttı.
NTDS.DIT’in hırsızlığı, Windows alan adları için varoluşsal bir tehdit oluşturuyor ve saldırganlara tüm kimlik bilgileri üzerinde tam kontrol sağlıyor.
Geleneksel savunmalar genellikle gölge kopya oluşturma ve çevrimdışı şifre çözme sırasında kullanılan düşük ve yavaş teknikleri kaçırır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
