CC BY
2
УДК 004.056.53
https://doi.Org/10.35546/kntu2078-4481.2023.1.16
ORCID: 0000-0002-4961-7816
ORCID: 0000-0002-1587-235X
ORCID: 0000-0003-0095-7585
I. С. Х1М1ЧУК
студент
Державний ушверситет «Житомирська полгтехшка»
ORCID: 0009-0000-4456-0868
АНАЛ1З К1БЕРАТАК НА ACTIVE DIRECTORY ТА МЕТОД1В П1ДВИЩЕННЯ Р1ВНЯ ЗАХИЩЕНОСТ1 ОПЕРАЦ1ЙНО1 СИСТЕМИ WINDOWS SERVER
У cmammi розглянуто юбератаки на Active Directory операцшно'1' системи Windows Server та до^джено можливi способи протиди таким атакам та пом'якшення Их на^дюв.
Враховуючи популярнкть Active Directory для побудови корпоративних мереж, високою е й зацiкавленiсть кiберзлочинцiв в атаках з метою порушення роботи таких систем чи одержання конфiденцiйноi тформацп, а отже, зростае потреба запобiгання таким атакам та мтм^ацп Их впливу. У статтi здтснено огляд наявних публтацт, присвячених цт проблематицi. Водночас, наголошуеться на необхiдностi до^дження р1зних видiв атак на Active Directory, зокрема нових, а також на важливостi володiння комплексом методiв та iнструментiв для захисту вiд цих атак. До^джено та проаналiзовано так види юбератак на Active Directory, як «розпилен-ня» пароля, передача хешу, атаки з «золотим» та «срiбним квитком», DNS-спуфтг, атаки на об'ект групово'1' полiтики, розширення DNS, атаки DCSync та SMB Relay. Розглянуто низку iнструментiв, як можуть викорис-товуватися юберзлочинцями i як повиннi братися до уваги фахiвцями з юбербезпеки пiд час налаштування та тестування захисту корпоративно '1'мережi на базi Active Directory (Mimikatz, Bloodhound, Empire, CrackMapExec, Nmap, Metasploit, Responder, PowerUp, LaZagne). У ходi проведення аналiзу ргзних видiв юбератак та тстру-ментiв, доступних зловмисникам, визначено загальш вразливостi Active Directory та вектори вiдповiдних атак. Наведено можливi стратеги пом'якшення ризиюв успiшного проведення атак, зокрема впровадження полiтики надшних паролiв, багатофакторно'1' автентифiкацii, контролю доступу з найменшими привыеями, оновлення программного забезпечення та виправлень безпеки i мотторингу та виявлення пiдозрiлоi активностi. Загалом стаття метить iнформацiю про ризики безпеки, пов'язаш з Active Directory, i в нш запропоновано практичш поради для IТ-фахiвцiв, як прагнуть посилити захист вiд юбератак, спрямованих на цю критично важливу систему.
Ключовi слова: вразливостi, юбератаки, Active Directory, iнструменти проведення атак, запобiгання атакам, зменшенняризиюв, пом'якшення на^дюв юбератак.
Y. M. BAILIUK
Senior Lecturer at the Department of Computer Engineering and Cyber Security
Zhytomyr Polytechnic State University ORCID: 0000-0002-4961-7816
O. A. POKOTYLO
Senior Lecturer at the Department of Computer Engineering and Cyber Security
Zhytomyr Polytechnic State University ORCID: 0000-0002-1587-235X
0. S. HOLOVNIA
Candidate of Pedagogical Sciences, Associate Professor at the Department of Computer Engineering and Cyber Security
Zhytomyr Polytechnic State University ORCID: 0000-0003-0095-7585
1. S. KHIMICHUK
Student
Zhytomyr Polytechnic State University ORCID: 0009-0000-4456-0868
ANALYSIS OF CYBER ATTACKS ON ACTIVE DIRECTORY AND METHODS OF INCREASING THE SECURITY LEVEL OF THE WINDOWS SERVER OPERATING SYSTEM
The article examines cyber-attacks on Active Directory of Windows Server operating system and investigates possible ways to prevent and mitigate them.
Considering the popularity of Active Directory for building corporate networks, cyber criminals are highly interested in attacking it to disrupt its work or gain access to confidential information, and therefore, there is an increasing need for preventing and mitigating these attacks. The paper gives an overview of available publications on these issues. At the same time, the authors of the article emphasize the necessity of studying different types of attacks on Active Directory, in particular, new attacks, as well as the importance of being aware of versatile methods and tools for mitigating these attacks. The work studies and analyses the cyber-attacks on Active Directory, including Password Spraying, Pass-the-Hash, Golden Ticket and Silver Ticket Attacks, DNS Spoofing, attacks on group policy objects, DNS amplification, DCSync and SMB Relay attacks. The authors consider instruments available to cyber criminals and should be factored in by cybersecurity professionals while configuring and testing the defense of corporate networks based on Active Directory (Mimikatz, Bloodhound, Empire, CrackMapExec, Nmap, Metasploit, Responder, PowerUp, LaZagne). Through the analysis of different types of cyber-attacks and tools possibly exploited by intruders, the study determines general vulnerabilities of Active Directory, and corresponding attack vectors. In addition, possible strategies to mitigate the risks of successful attacks are considered, including implementing strong password policies, multi-factor authentication, least-privilege access control, software updates and security patches, and monitoring and suspicious activity detection. Consequently, the article provides information on the security risks associated with Active Directory and suggests practical advice for IT professionals who want to strengthen their defenses against cyber-attacks targeting this mission-critical system.
Key words: vulnerabilities, cyber-attacks, Active Directory, attack tools, attacks prevention, risk reduction, mitigating the consequences of cyber-attacks.
Постановка проблеми
Осшльки технологи прогресують i оргашзаци все бшьше покладаються на цифрову шфраструктуру, безпека шформацшно-комушкацшних систем стае все бшьш важливою. Active Directory операцшно! системи Windows Server е критично важливим компонентом 1Т-шфраструктури багатьох оргашзацш, забезпечуючи централiзовану платформу для керування облшэвими записами користувачiв, груповими политиками та ресурсами комп'ютера. Однак i3 такою критичшстю зростае ризик шбератак, осшльки зловмисники намагаються використовувати враз-ливосп в AD, щоб отримати доступ до конфвденцшно! шформацп або порушити роботу системи.
Враховуючи критичну роль AD в управлшш 1Т-шфраструктурою оргашзаци, важливо розумгти природу цих атак i методи, як можна використовувати для запоб^ання або !х пом'якшення. Тому аналiз шбератак на Active Directory е важливою областю дослвдження для IТ-фахiвцiв та адмiнiстраторiв безпеки.
Цей аналiз може надати цшну шформацш про ризики, пов'язаш з атаками AD, зокрема про тактику, методи та процедури, яш використовують зловмисники. Це також може допомогти виявити слабк мюця в шфраструк-турi AD оргашзаци та надати вказiвки щодо заходiв, яш можна вжити для !х усунення. Розумшчи природу цих атак i застосовуючи належш заходи безпеки, оргашзаци можуть зменшити ризик стати мшенню шберзлочинщв i забезпечити безпеку та цшсшсть свое! 1Т-шфраструктури.
Формулювання мети дослщження
Метою дано! роботи е дослвдження рiзниx титв атак на Active Directory ОС Windows, шструменпв, якi можуть використовувати шберзлочинщ для !х проведення, метсдов запобiгання та пропонування стратегiй пом'якшення ризишв успiшного проведення атак.
Анал1з останн1х дослiджень та публ1кац1й
Шд час проведення дослiджень з дано! теми було проаналiзовано ряд публтацш, що стосуються атак на Active Directory. Зокрема, у статл Lukas Kotlaba, Simona Buchovecka та Robert Lorencz [1] основною темою е виявлення атаки Kerberoasting у середовищi Active Directory. Мета атаки полягае в тому, щоб отримати паролi облшових записiв сервiсiв без потреби в будь-яких спецiальниx правах доступу користувача чи ескалацii привiлеiв, що
робить ïï придатною для початкових фаз компрометацп мереж! та подальшого повороту для бшьш прившейова-них обл1кових записiв. Основною метою статп е обговорення можливостей монiторингу, налаштування правил виявлення, побудованих на основi вбудованих можливостей аудиту Active Directory, включаючи можливi способи мiнiмiзацiï помилкових спрацьовувань.
У робот Muthuraj S., Sethumadhavan M., Amritha P. P. та Santhya, R. [2] розглянуто виявлення вщомих атак, спрямованих на служби домену з боку зловмисника за допомогою SIEM. Також запропоновано методи запо-бтання цим атакам. SIEM широко використовуються в багатьох оргашзащях аналiтиками безпеки для мониторингу ïхньоï' мереж1 за допомогою журналiв подiй. Правила виявлення були розробленi та реалiзованi в Splunk. Оцiнювання правил i атак були виконанi у вiртуальному середовищi.
Дослвдження авторiв Basem Ibrahim Mokhtar, Anca D. Jurcut, Mahmoud Said ElSayed та Marianne A. Azer [3] надае уявлення про критичшсть, вплив i виявлення атак Active Directory. У статп розглянуто рiзнi атаки на Active Directory. Також представлено етапи атаки Active Directory i робочий процес автентифшаци Kerberos, яким зловжи-вають в бшьшосп атак для компрометацп середовища Active Directory. Крiм того, проведено експерименти з двома атаками, як! базуються на шдвищенш прившеш, щоб перевiрити сигнатури атак у журналах подш Windows.
У статтi Giuseppe Nebbione та Maria Carla Calzarossa [4] запропоновано методолопчну структуру за допомогою штучного штелекту, спрямовану на оцшювання того, е цiльове середовище вразливим чи безпечним. Фреймворк заснований на комбiнованому застосуваннi методiв на основi графiв i машинного навчання. Компоненти цiлi разом iз ïхнiми вразливими мiсцями представленi графiками, аналiз яких iдентифiкуе шляхи атак, пов'язаш з потенцiйними загрозами безпецi. Методи машинного навчання класифшують цi шляхи та забезпечують ощню-вання безпеки цш. Експериментальне оцiнювання запропонованого фреймворку була проведена на 220 штучно створених середовищах Active Directory, половина з яких мютила вразливостг
У робот Charlie Clark [5] зазначено, що Microsoft Active Directory була представлена для виршення безлiчi мережевих проблем. Але вщкрипсть i широке поширення також зробили ïï основною мшенню для юбератак. У цш статтi розглядаеться одна конкретна вразливють i те, як вона демонструе ключову роль Active Directory i ïï потенщал як слабкого мюця у ваших мережах.
Цiль статп Bamidele Oni та Aboubakar Kpelafiya [6] полягае в аналiзi компоненпв архiтектури серверiв та загроз безпещ, як! можуть виникнути проти серверiв Windows i Linux. Крiм того, у статп наведено загальний опис контрзаходiв, як! можна застосувати для захисту ввд р!зних загроз i вразливостей в обох операцшних систем.
У статп авторiв 1льенко A. В., 1льенко С. С. та Кулш T. [7] розглянуто проблеми забезпечення iнформацiйноï' безпеки операцiйноï системи Windows та визначення перспективних методiв забезпечення захисту. Також зро-блено аналiз та проведено класифiкацiю сучасних вразливостей операцшно!! системи та на прикладах наведено наслщки ди. Кр!м того, визначено основш пвдходи i методи щодо органiзацiï' захисту операцшно].' системи. Розглянуто стандартш тдходи, а саме використання вбудованих засобiв захисту програмного забезпечення, захист Active Directory, вiртуалiзацiя для стримування атак. В робоп показанi власнi приклади реалiзацiï Blockchain для перевiрки сертифгкапв, враховуючи деяк! !з варiацiй перевiрок. Приклади реалiзовано на Python 3.0.
В дослщженш Струкова В. М. та Гудшна В. В. [8] були розглянуп деяк! з актуальних можливих методiв проведення атак на корпоративш iнформацiйнi системи, як! засноваш на використаннi служби каталогiв Active Directory i метою яких е отримання прав адмшстратора домену, а також було надано практичнi рекомендацп !з захисту та детектування проаналiзованих вид!в атак.
В робот! Юкальчук А. I., Загоруйко Л. В., та Мартьяновоï Т. А. [9] наводиться приклад дослщження реалiзацiï' комп'ютерно!! атаки у типовш iнформацiйнiй шфраструктур!, яка вмiщуе корпоративну мережу з доменною архь тектурою та автоматизовану систему управлiння технологiчним процесом. Для розглянутого прикладу визначено оптимальнi значення часових параметрiв безпеки.
Шд час аналiзу публiкацiй, присвячених данiй тем!, було виявлено, що в них описано невелику кшьшсть атак та не враховано нов! типи атак. Кр!м того, розглянуп в цих дослвдженнях методи та засоби захисту в!д цих атак е досить обмеженими. В данш статп, окр!м анал!зу атак на Active Directory, описано спещал!зоваш шструменти, за допомогою яких зловмисники можуть устшно реал!зовувати щ атаки. Знаючи про щ шструменти, адмшстра-торам безпеки буде значно легше захистити систему в!д вторгнень. Також у цш статп наведено методи та засоби, як! можуть забезпечити високий р!вень захисту системи чи значно зменшити ризик успiшноï реал!заци таких атак.
Викладення основного матерiалу дослiдження
Юбератаки на Active Directory (AD) можуть приймати р!зш форми, включаючи атаки на парол!, шдвищення привiлеïв i прослуховування мережного траф!ку. Зловмисники часто використовують тактику соцiальноï шже-нерiï, наприклад фшинг, щоб отримати доступ до облжових даних AD, як! вони можуть використовувати для отримання доступу до мереж! та конфвденцшних ресурав. Отримавши доступ, зловмисники можуть виконувати команди, встановлювати зловмисне програмне забезпечення та виконувати шш! шквдлив! дп, часто з метою викра-дання конфщенцшних даних або зриву б!знес-операцш. Розглянемо основш типи юбератак на Active Directory, як! найчастше проводяться зловмисниками.
«Розпилення» пароля (Password Spraying) е одним 1з найпоширешших титв атак на Active Directory. Зловмисник намагаеться увшти в AD за допомогою списку часто використовуваних парол1в, спод1ваючись отримати доступ до одного або шлькох облжових запис1в. Вш може використовувати автоматизоваш шструменти для перев1рки велико! шлькосп парол1в з1 списком 1мен користувач1в. Отримавши доступ до облжового запису, зловмисники потенцшно можуть викрасти конфвденцшну шформацш або встановити зловмисне програмне забезпечення на скомпрометованш машиш Щоб запобити атакам з «розпиленням» парол1в, оргашзаци повинш заохочувати вико-ристання надшних парол1в i впроваджувати политику блокування облшзвих запис1в, яка запоб1гае атакам тдбору. Кр1м того, багатофакторна автентифжащя може ускладнити зловмисникам отримання доступу до облжових запи-с1в, навиъ якщо вони мають правильний пароль.
1ншим типом атаки, спрямовано! на Active Directory, е передача хешу (Pass-the-Hash). У цьому тип атаки зловмисник викрадае хеш пароля облшэвого запису AD i використовуе його для автентиф1каци користувача, не знаючи фактичного пароля. Цю атаку можна здшснити шляхом перехоплення мережевого трафшу, доступу до скомпрометовано! машини або використання шюдливого програмного забезпечення. Коли зловмисник отримуе доступ до облжового запису, вш може видати себе за законного користувача та отримати доступ до конфвден-цшних ресурс1в. Щоб запобити атакам передач1 хешу, оргашзаци повинш використовувати надшш алгоритми шифрування для захисту хеш1в парол1в, наприклад шифрування Kerberos. Вони також повинш використовувати 1золяцш домену, щоб запоб1гти доступу зловмисник1в до шших машин у мереж1 шсля того, як вони скомпроме-тували одну машину.
Атака з «золотим квитком» (Golden Ticket Attack) - це тип атаки, у якому зловмисник отримуе хеш пароля облжового запису KRBTGT i використовуе його для створення шдробленого квитка для видач1 квитк1в (TGT), який може надати йому доступ до будь-яко! служби в домеш Маючи Golden Ticket, зловмисник може отримати повний контроль над доменом i скомпрометувати будь-який серв1с. Атаки з Golden Ticket важко виявити, i !х можна здшснити, навгть якщо оргашзащя мае потужш мехашзми автентифжаци. Щоб запоб1гти атакам з Golden Ticket, оргашзаци повинш забезпечити безпеку сво!х контролер1в домену AD i захист обл1кових даних адм1н1стра-тора. Вони також повинш стежити за д1яльшстю обл1кового запису KRBTGT i використовувати засоби контролю доступу з найменшими прившеями, щоб обмежити збитки, яш може завдати зловмисник, якщо йому вдасться отримати Golden Ticket.
Атака з1 «ср1бним квитком» (Silver Ticket Attack) - це тип атаки, у яшй зловмисник створюе пвдроблений TGT для певного облжового запису служби. За допомогою Silver Ticket зловмисник може отримати доступ до певних служб, не будучи виявленим. Цей тип атаки часто використовуеться зловмисниками, яш вже скомпрометували мережу та хочуть зберегти доступ до певно! служби чи ресурсу. Щоб запобити атакам з Silver Ticket, необхщно використовувати надшш алгоритми шифрування для захисту облжових даних серв1сного облжового запису, наприклад AES-256. Також потр1бно використовувати засоби контролю доступу з найменшими прившеями.
Атака DCSync - це тип атаки, у яшй зловмисник 1мгтуе контролер домену та запитуе репл1кацш даних облшэвого запису AD. Щ дан1 можуть м1стити конф1денц1йну 1нформац1ю, таку як парол1 та хеш1. Отримавши ц1 даш, зловмисник може використовувати !х для подальших атак на мережу. Щоб запоб1гти атакам DCSync, орган1зацИ повинш використовувати безпечш протоколи зв'язку, таю як LDAP через SSL/TLS, щоб захистити конф1денц1йн1 дан1 AD пвд час передач1. Кр1м того, потр1бно використовувати шифрування для захисту конфщенцшних даних у стан1 збер1гання, наприклад вмюту бази даних AD.
DNS-спуфшг (DNS Spoofing) - це тип атаки, шд час яко! зловмисник перенаправляе DNS-запити на п1дро-блений сервер, що дозволяе йому перехоплювати трафж i потенц1йно отримувати доступ до конфвденцшно! 1нформацИ. У контексп Active Directory, п1дробка DNS може використовуватися для перенаправлення запит1в автентиф1каци на п1дроблений сервер, дозволяючи зловмиснику перехоплювати обл1ков1 дан1 для входу. Для того, щоб запобити атакам DNS-спуфшгу, сл1д запровадити безпечн1 протоколи DNS, наприклад DNSSEC, i регулярно перев1ряти сво! журнали DNS на наявшсть п1дозр1ло! активност1.
Атаки на об'ект групово! пол1тики (GPO). GPO е ключовою функц1ею Active Directory, яка використовуеться для керування налаштуваннями користувач1в i комп'ютера. Зловмисники можуть використовувати вразливосп в GPO, щоб отримати шдвищеш прив1ле! або встановити шшдливе програмне забезпечення на цшьових машинах. Наприклад, зловмисник може змшити GPO, щоб встановити бекдор на вс1х машинах у домеш Щоб запо-б1гти атакам на GPO, оргашзащям сл1д регулярно переглядати налаштування сво!х GPO та переконатися, що вони використовують найнов1ш1 рекомендаци щодо безпеки в1д Microsoft. Також необхщно обмежити доступ до шструменпв керування GPO дов1реним адм1н1страторам i використовувати 1нструменти аудиту для мошторингу зм1н GPO.
Розширення DNS (DNS Amplification) - це тип атаки, шд час яко! зловмисник надсилае DNS-запит на сервер, п1дробляючи вихвдну IP-адресу, щоб виглядати так, шби запит надходить з комп'ютера легального користувача. Пот1м сервер в1дпов1дае набагато б1льшим пакетом, н1ж початковий запит, переповнюючи машину легального користувача трафшзм i потенц1йно викликаючи атаку на вщмову в обслуговуванн1 (DoS). Щоб запоб1гти атакам
посилення DNS, необхвдно впроваджувати таи заходи безпеки, як брандмауери та системи виявлення вторгнень, як1 можуть щентифшувати та блокувати шдроблеш запити DNS. Кр1м того, необхвдно налаштувати сво! DNS-сервери, щоб вщповвдати лише на законш запити та обмежити розм1р вщповвдей, щоб запоб1гти розширенню DNS.
SMB Relay - це тип атаки, яка використовуе слабшсть у протокол! SMB (Server Message Block), який вико-ристовуеться системами Windows для спшьного використання файл1в i принтер1в. Атака працюе шляхом перехо-плення та передачi запитiв автентифшацй SMB мiж клiентом i цiльовим сервером. Зловмисник спочатку визначае цiльову систему в мереж!, яка вразлива до атак SMB Relay, потiм перехоплюе запити автентифшацй SMB вiд шших систем у мереж1. Далi зловмисник передае запит автентифжацп на контролер домену в мереж! для отримання облжових даних домену для користувача, який спочатку зробив запит на автентифтацш. Маючи доступ до облжових даних домену, зловмисник може виконувати рiзноманiтнi зловмисш дй в мереж!, наприклад ство-рювати нов! облшзв! записи користувачiв, пвдвищувати привше!' та отримувати доступ до конфщенцшних даних. Щоб запобнти атакам SMB Relay на Active Directory, необхвдно переконатися, що ва системи в мереж! оновлеш з остaннiми виправленнями безпеки. Кр!м того, потр!бно запровадити сегментацiю мережi та контроль доступу, щоб обмежити поширення атак. Також необхщно ввдстежувати мережевий трaфiк на наявшсть ознак атак SMB Relay, таких як численш запити автентифжацп з одше!' IP-адреси, та використовувати так1 технологи, як шдпи-сання SMB i шифрування SMB [10], [11].
Для проведення атак на Active Directory зловмисники можуть використовувати рiзномaнiтнi шструменти. Дaлi розглянемо нaйпопулярнiшi з них.
Mimikatz - це шструмент, який дозволяе зловмиснику отримувати з пам'яп чист! текстовi парол^ хешi та шш! облжов! даш автентифшацй. Його також можна використовувати для шдвищення привше'в i виконання команд у скомпрометовaнiй системi.
Bloodhound - шструмент, який допомагае визначати вразливосп в середовищах Active Directory. Вш в!до-бражае зв'язки м!ж користувачами, групами, комп'ютерами та шшими ресурсами в межах домену, що допомагае зловмисникам визначити потенцшш шляхи для проведення атаки.
Empire - це пост-експлуатацшний шструмент, який дозволяе зловмисникам контролювати скомпрометоваш системи та виконувати р!зш ди, так1 як: виконання команд, завантаження та завантаження фамв, а також перехiд до шших систем.
CrackMapExec - це шструмент тестування на проникнення, який дозволяе зловмисникам перевiряти безпеку середовищ Active Directory, виконуючи р!зш атаки, таю як «розпилення» пароля, передача хешу та атаки Golden Ticket.
Nmap - це популярний шструмент ввдображення мереж1 та сканування порпв, який можна використовувати для визначення вщкритих порпв i служб у системах у мереж! Його можна використовувати для прослуховування мереж1, щоб зiбрaти iнформaцiю про середовище Active Directory та виявити потенцiйнi вразливосл.
Metasploit - це фреймворк для тестування на проникнення, який включае низку шструменпв для використання вразливостей у системах. Вш мютить модул! для атак на середовища Active Directory, таи як атака SMB relay, яка дозволяе зловмисникам перехоплювати та ретранслювати запити автентифтацп SMB, щоб отримати доступ до системи жертви.
Responder - це шструмент, який можна використовувати для отримання облшэвих даних !з систем у мереж! Вш працюе шляхом тдробки мережевих служб i захоплення облшзвих даних, нaдiслaних системами, як! нама-гаються автентифшуватися за допомогою цих служб. Це можна використовувати для збору облшэвих даних для облжових запиав Active Directory.
PowerUp - це сценарш PowerShell, який використовуеться для шдвищення привше!'в у середовищах Windows. Вш мютить модул! для виявлення неправильно налаштованих ACL, пошуку шлях!в обслуговування та виявлення шших уразливостей, як! можна використати для отримання вищих привше'в у Active Directory.
LaZagne - шструмент вщновлення пароля, який можна використовувати для вилучення парол!в, що зберь гаються в систем!. Вш мютить модул! для ввдновлення парол!в, що збер!гаються в р!зних програмах i службах, у тому числ тих, що використовуються Active Directory, наприклад у файл! NTDS.dit [12], [13].
Наслщки юбератак на Active Directory можуть бути серйозними. Усшшна атака може призвести до витоку даних, крад1жки конфщенцшно! шформацп та збо!'в у робот! служби. Щоб пом'якшити наслвдки юбератак на Active Directory, оргашзацп повинш мати плани реагування на шциденти, у яких описано кроки, як! необхщно вжити в раз! атаки. Також необхвдно проводити регулярш перев!рки безпеки та оцшки уразливостей, щоб виявити потенцшш недолши в шфраструктур! AD.
Профшактичш заходи включають впровадження полггики надшних парол!в, багатофакторну автентифжащю та контроль доступу з найменшими прившеями. Багатофакторна автентифтащя (MFA) може допомогти захис-тити систему вщ крад1жки облшзвих даних, яка е поширеним вектором атак на_ Active Directory. Вимагаючи дру-гий фактор, наприклад мобшьний пристрш або бюметричну автентифтащю, на додаток до пароля, MFA може значно збшьшити складнють компрометацй' облшзвих даних користувача. Для контролю доступу з найменшими
прившеями необхвдно запровадити керування прившейованим доступом (PAM). Також PAM можна використовувати для обмеження доступу до адмiнiстративних облшэвих записiв i монiторингу активностi в цих облшэвих записах. Обмеживши доступ до прившейованих облiкових записiв, оргашзаци можуть зменшити ризик того, що щ облiковi записи будуть скомпрометоваш та використанi для здiйснення атак на Active Directory. Крiм того, оргашзаци повинш регулярно виправляти та оновлювати свою iнфраструктуру AD для усунення будь-яких ввдомих уразливостей. Також необхвдно проводити регулярнi треншги з безпеки для спiвробiтникiв, щоб ознайомити 1х з ризиками шбератак та як гх уникнути.
Оновлення програмного забезпечення та виправлень безпеки мае вагоме значения для пом'якшення атак Active Directory. Зловмисники часто використовують вiдомi вразливосп в застаршому програмному забезпеченнi чи системах, щоб отримати доступ до шфраструктури оргашзаци. Регулярно оновлюючи програмне забезпечення та виправлення безпеки, органiзацiï можуть закрити щ вразливостi та запобiгти використання 1х зловмисниками.
Можливостi виявлення е важливими для iдентифiкацiï та реагування на кiбератаки на Active Directory. Оргашзаци повинш запроваджувати iнструменти та методи мониторингу та виявлення пiдозрiлоï активностi в iнфраструктурi AD, наприклад аналiз журналiв i виявлення аномалш. Аудит дозволяе органiзацiям ввдстежу-вати змши, внесенi в об'екти Active Directory, таю як облiковi записи користувачiв, членство в групах i GPO. Також потрiбно регулярно проводити тестування на проникнення, щоб виявити потенцiйнi недолiки в шфра-структурi AD.
Плани реагування на шциденти мають вирiшальне значення для мiнiмiзацiï збитк1в, спричинених юберата-ками на Active Directory. Оргашзаци повинш мати чiтко визначеш плани реагування на шциденти, яю окреслю-ють кроки, яких необхвдно вжити у випадку атаки. Цi плани повиннi включати процедури стримування атаки, дослвдження масштабiв атаки та вiдновлення нормальноï роботи [14], [15].
Висновки
Анал1з юбератак на Active Directory ОС Windows Server мае виршальне значення для оргашзацш в планi пвд-вищення рiвня безпеки та захисту 1Т-шфраструктури вiд зловмисник1в. Кiбератаки на Active Directory можуть мати серйозш наслвдки, i органiзацiï повиннi вжити належних заходiв для пом'якшення цих ризиюв. Першим кро-ком до зменшення ризикiв атак на AD е розумшня природи цих атак i метсдав, як1 використовують зловмисники. Проводячи ретельний анал1з атак, як1 були здшснеш на систему, органiзацiï можуть вдентиф^вати загальнi враз-ливостi та шаблони поведiнки зловмисник1в, що дозволяе ш вживати профiлактичних заходiв для запобiгання майбутнiм атакам. Крiм того, адмшютраторам безпеки органiзацiï важливо знати про шструменти, яю можуть використовувати зловмисники при проведенш атак. Це дасть можливють значно знизити ризик 1'х успiшноï реа-лiзацiï. Одним iз ефективних методiв захисту ввд атак на AD е впровадження багатофакторно1' автентифiкацiï (MFA) для вах облiкових записiв користувачiв. MFA додае до AD додатковий рiвень безпеки, вимагаючи вiд користувачiв надання двох або бшьше форм автентифiкацiï для доступу до ресурав. Це може допомогти запо-бiгти несанкцiонованому доступу до AD i зменшити ризик викрадення обл1кових даних. 1нший важливий аспект безпеки AD - це гарант того, що всi системи та програмне забезпечення постшно оновлюються з останнiми виправленнями безпеки. Багато атак на AD здiйснюються з використанням вiдомих уразливостей у застаршому програмному забезпеченш, але, пiдтримуючи системи та програмне забезпечення в актуальному сташ, оргашзаци можуть зменшити ризик реалiзацiï цих атак. Оргашзаци також повинш регулярно ввдстежувати дiяльнiсть AD на наявнiсть ознак пвдозршо1' поведiнки, як-от незвичайнi спроби входу, невдалi спроби автентифiкацiï або змши дозволiв користувача. Це може допомогти виявити та запоб^и атакам до того, як вони завдадуть значно1' шкоди системi та органiзацiï в цшому. Крiм того, важливо переконатися, що вс спiвробiтники регулярно про-ходять навчання з питань безпеки, щоб допомогти 1'м розпiзнавати та уникати атак соцiальноï iнженерiï, наприклад, таких як фшинг. Розповвдаючи спiвробiтникам про ризики, пов'язанi з атаками на AD, i надаючи 1'м шстру-менти та знання для виявлення пiдозрiлоï поведiнки та поввдомлення про не!, органiзацiï можуть зменшити ризик усшшних атак. Хоч атаки AD становлять значну загрозу для IТ-iнфраструктури органiзацiй, iснують методи та засоби захисту, яю оргашзаци можуть вжити, щоб зменшити щ ризики. Розумшчи природу цих атак i застосо-вуючи належнi заходи безпеки, оргашзаци можуть зменшити ризик стати мшенню юберзлочинщв i забезпечити безпеку та цiлiснiсть своеï 1Т-шфраструктури.
Список використаноТ лiтератури
1. Kotlaba Lukas, Buchovecka Simona, Lorencz Robert. Active Directory Kerberoasting Attack: Monitoring and Detection Techniques. In ICISSP. 2020 p. 432-439. https://doi.org/10.5220/0008955004320439
2. Muthuraj S., Sethumadhavan M., Amritha P. P., Santhya, R. Detection and prevention of attacks on active directory using SIEM. In Information and Communication Technology for Intelligent Systems: Proceedings ofICTIS 2020, Volume 2. Springer Singapore, 2021. p. 533-541. https://doi.org/10.1007/978-981-15-7062-9_53
3. Mokhtar Basem Ibrahim, Jurcut Anca D., ElSayed Mahmoud Said, Azer Marianne A. Active Directory Attacks -Steps, Types, and Signatures. Electronics, 2022, 11(16): 2629. https://doi.org/10.3390/electronics11162629
4. Nebbione Giuseppe, Calzarossa Maria Carla. A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments. IEEE Access, 2023, 11: 15119-15130. https://doi.org/10.1109/ACCESS.2023.3244490
5. Clark Charlie. Analysis of a new AD vulnerability. Network Security, 2022, 2022.12. https://doi.org/10.12968/ S1353-4858(22)70069-4
6. Oni Bamidele, Kpelafiya Aboubakar. Windows Active Directory vs. Linux Directory Services, 2023.
7. 1льенко A.B., 1льенко С., Кул1ш T. Перспективш методи захисту операцшно! системи Windows. Електронне фахове наукове видання «Юбербезпека: освгга, наука, техшка», 2020, 4(8). C. 124-134.
8. Струков В. М., Гудшн, В. В. Захист ввд атак тдвищення привше!в в корпоративних шформацшних системах. Протид1я шберзлочинносл та торпвт людьми: зб. матер1ал1в М1жнар. наук.-практ. конф.(м. Харшв, 18 трав. 2021 р.). Харшв: ХНУВС, 2021. С. 79-82.
9. Юкальчук, А. I., Загоруйко, Л. В., & Мартьянова, Т. А. Моделювання apt-атак, що експлуатують вразливють Zerologon. Прикладт аспекти сучасних мiждисциnлiнарних до^джень, 2022. C. 231-234.
10. Philip Robinson. Top 10 Active Directory Attack Methods. URL: https://www.lepide.com/blog/top-10-active-directory-attack-methods/
11. Jason Morano. The anatomy of Active Directory attacks. URL: https://blog.quest.com/the-anatomy-of-active-directory-attacks/
12. Carlos Polop. Hack Tricks. Active Directory Methodology. URL: https://book.hacktricks.xyz/windows-hardening/ active-directory-methodology
13. Darren Mar-Elia Attacking Active Directory: Tools and Techniques for Using your AD Against You. URL: https:// www.semperis.com/blog/tools-attacking-active-directory/
14. Microsoft. Windows Server. Active Directory Domain Services. Security principals. URL: https://learn.microsoft. com/en-us/windows-server/identity/ad-ds/manage/understand-security-principals
15. Active Directory Security. URL: https://www.quest.com/solutions/active-directory/active-directory-security.aspx
References
1. Kotlaba, L., Buchovecka, S., & Lorencz, R. (2020). Active Directory Kerberoasting Attack: Monitoring and Detection Techniques. In ICISSP (pp. 432-439). https://doi.org/10.5220/0008955004320439
2. Muthuraj, S., Sethumadhavan, M., Amritha, P. P., & Santhya, R. (2021). Detection and prevention of attacks on active directory using SIEM. In Information and Communication Technology for Intelligent Systems: Proceedings of ICTIS 2020, Volume 2 (pp. 533-541). Springer Singapore. https://doi.org/10.1007/978-981-15-7062-9_53
3. Mokhtar, B. I., Jurcut, A. D., ElSayed, M. S., & Azer, M. A. (2022). Active Directory Attacks-Steps, Types, and Signatures. Electronics, 11(16), 2629. https://doi.org/10.3390/electronics11162629
4. Nebbione, G., & Calzarossa, M. C. (2023). A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments. IEEE Access, 11, 15119-15130. https://doi.org/10.1109/ACCESS.2023.3244490
5. Clark, C. (2022). Analysis of a new AD vulnerability. Network Security, 2022(12). https://doi.org/10.12968/ S1353-4858(22)70069-4
6. Oni, B., & Kpelafiya, A. (2023) Windows Active Directory vs. Linux Directory Services, 2023.
7. Ilyenko, A., Ilyenko, S., & Kulish, T. (2020). Promising methods of protecting the Windows operating system. Electronic professional scientific publication "Cybersecurity: education, science, technology", 4(8), 124-134. https://doi. org/10.28925/2663-4023.2020.8.124134. [in Ukrainian].
8. Strukov, V. M., & Gudilin, V V. (2021). Protection against privilege escalation attacks in corporate information systems. Combating cybercrime and human trafficking: coll. materials of the International science and practice conference (Kharkov, May 18, 2021). - Kharkiv: KhNUVS, 2021. - P. 79-82. [in Ukrainian].
9. Yukalchuk, A. I., Zagoruyko, L. V., & Martyanova, T. A. (2022). Simulating apt-attacks exploiting the Zerologon vulnerability. Applied aspects of modern interdisciplinary research, 231-234. [in Ukrainian].
10. Philip Robinson. (2022). Top 10 Active Directory Attack Methods. Retrieved from: https://www.lepide.com/blog/ top-10-active-directory-attack-methods/
11. Jason Morano. (2022). The anatomy of Active Directory attacks. Retrieved from: https://blog.quest.com/the-anatomy-of-active-directory-attacks/
12. Carlos Polop. Hack Tricks. Active Directory Methodology. Retrieved from: https://book.hacktricks.xyz/windows-hardening/active-directory-methodology
13. Darren Mar-Elia. (2017). Attacking Active Directory: Tools and Techniques for Using your AD Against You. Retrieved from: https://www.semperis.com/blog/tools-attacking-active-directory/
14. Microsoft. Windows Server. Active Directory Domain Services. (2022). Security principals. Retrieved from: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-principals
15. Active Directory Security. Retrieved from: https://www.quest.com/solutions/active-directory/active-directory-security.aspx
