Este é o último de uma série de posts que chamamos “QOMPLX Knowledge.” Estes posts são destinados a fornecer informações básicas e insights sobre a atividade de ataque e tendências que estão impulsionando campanhas maliciosas e que os pesquisadores QOMPLX encontram em nosso trabalho forense com clientes.

Para entender as relações de confiança entre florestas no Active Directory, você deve primeiro entender a estrutura lógica do Active Directory como prescrito pela Microsoft. O Active Directory segue uma hierarquia clara, de cima para baixo. Nessa hierarquia estão: florestas, árvores e domínios.

  • As florestas representam a instância completa do Active Directory e são containers lógicos compostos por árvores de domínios, domínios e unidades organizacionais.
  • As árvores são coleções de domínios dentro do mesmo espaço de nomes DNS; elas incluem domínios filhos.
  • Os domínios são agrupamentos lógicos de objetos de rede, como computadores, usuários, aplicativos e dispositivos na rede, como impressoras.

Os objetos de domínio que compõem uma floresta compartilham muitos elementos estruturais críticos. Estes incluem esquemas e configurações e uma relação de confiança transitiva bidirecional que é automaticamente configurada quando os objetos se juntam a um domínio no Active Directory. Nessas relações transitivas, a confiança é estendida entre objetos pai e filho em um domínio e entre domínios filhos e objetos confiados por esses domínios. Essas relações de confiança são automáticas e reflexivas.

A confiança cruzada é uma característica do Windows Server que permite que a confiança seja gerenciada entre os grupos mais altos – as florestas do Active Directory – dentro e fora da sua organização.

Pontos-chave

  • Trusts cross-forest são relações de confiança entre florestas, árvores e domínios do Active Directory
  • Trusts são transitivos ou não transitivos, e de uma ou duas vias
  • Trusts padrão estabelecidos automaticamente dentro do Active Directory são trusts de árvores e trusts de pais e filhos
  • Outros trusts, tais como externos, domínio, atalho e trustes florestais, devem ser determinados por um administrador privilegiado

Relações de confiança através das florestas AD

As relações de confiança entre domínios através das florestas do Active Directory devem ser estabelecidas antes que os usuários tenham permissão para acessar recursos da rede dentro do perímetro da empresa, ou recursos externos além do perímetro da rede. Essa confiança é um bloco de construção de identidade e gestão de acesso. Isso é especialmente verdade à medida que as empresas crescem por meio de fusões e aquisições e à medida que a força de trabalho acessa cada vez mais o trabalho a partir de casa ou de outros locais remotos. A confiança entre domínios também é importante à medida que as empresas dependem mais de relações de terceiros com fornecedores e parceiros para expandir seus negócios.

Florestas atuam essencialmente como um limite de segurança para a estrutura que compõe o Active Directory, mas alguns especialistas advertem que essa abordagem pode ter seus inconvenientes.

“Uma floresta do Active Directory pode ser projetada com vários domínios para mitigar certas preocupações de segurança, mas na verdade não as mitigará devido à forma como os trusts de domínio na floresta funcionam”, advertiu Sean Metcalf, que dirige o site de segurança do Active Directory. “Se um grupo tem requisitos de segurança para seu próprio domínio devido a razões de segurança, é provável que ele realmente precise de sua própria floresta”, escreveu ele.

Embora existam muitas maneiras diferentes de atacar o Active Directory, os atores da ameaça também podem optar por abusar das relações de confiança no domínio. A coleta de informações sobre relações de confiança durante atividades de reconhecimento, uma vez que um atacante tem uma base de rede, permite que eles potencialmente identifiquem caminhos onde o movimento lateral seria possível. Como as relações de confiança de domínio autenticam os usuários nos respectivos controladores de domínio e a respectiva confiança permite aos usuários acesso aos recursos, os atacantes também podem seguir esses mesmos caminhos.

Atacantes podem seguir uma estratégia comum que primeiro envolveria a enumeração de trusts entre florestas, árvores e domínios que constrói um mapa de alcance potencial que um adversário pode ter. Vários métodos nativos do Windows e chamadas de API poderiam ser usados para enumerar trusts, alguns deles incluem NLtest e dsquery, ou ferramentas de código aberto de terceiros como Empire, PowerSploit, ou PoshC2.

A mesma abordagem pode ser usada para enumerar usuários, grupos ou servidores que têm relações de confiança similares que poderiam ser abusadas como uma ponte entre domínios. Um ator ameaçador pode então ter informações suficientes para decidir que contas atacar com ferramentas e ataques conhecidos, como Pass the Ticket ou Kerberoasting, onde bilhetes de serviço ou hashes de credenciais são roubados da memória e usados para privilegiar escalação e movimento lateral, ou são rachados em ataques offline e usados para ativar outros ataques.

Os administradores do Active Directory podem mitigar esses ataques através da auditoria e mapeamento de relações de confiança entre florestas e domínios, minimizando o número deles sempre que possível. Outra melhor prática é segmentar domínios sensíveis na rede, reduzindo a superfície de ataque disponível para os atores da ameaça.

Tipos de Trusts no Active Directory

Entretanto, como mencionado acima, a confiança em uma floresta do Active Directory é automaticamente estabelecida como bidirecional e transitória. Isto significa que os domínios pai e filho – árvore e raiz – confiam um no outro. Isso significa que os objetos do Active Directory são confiáveis para acessar recursos através desses domínios. Além disso: à medida que novos domínios filhos são criados, eles herdam a confiança do domínio pai e podem compartilhar recursos, assim como.

Non-transitive trust, portanto, é uma confiança que pára com os domínios com os quais foi criada. Em tal cenário, os domínios A e B podem confiar um no outro, e B e C podem confiar um no outro, mas essa confiança não se estende entre A e C sem que seja criada uma confiança unidireccional separada entre A e C.

Confiança, entretanto, pode ser apenas unidireccional. Por exemplo, um domínio é considerado um domínio confiável, e outro é confiável, portanto a confiança é estabelecida tanto na direção de saída quanto na de entrada.

Um glossário de alto nível de trust dentro do Active Directory parece assim:

  • Confiança de árvore: Este tipo de confiança é criado quando novos domínios raiz são adicionados a uma floresta do Active Directory. Estes são trusts transitivos de duas vias e apenas os domínios no topo de cada árvore fazem parte deste tipo de trust.
  • Parent-Child Trust: Quando novos domínios filhos são adicionados, a confiança transitiva bidireccional é automaticamente estabelecida pelo Active Directory entre o domínio filho e seu pai. Trusts pai-filho e trusts de árvore são trusts padrão estabelecidos automaticamente pelo Active Directory.
  • Forest Trust: Forest Trusts devem ser criados por um administrador privilegiado. Ele estabelece uma relação de confiança entre duas florestas de AD, permitindo que domínios em qualquer uma das florestas confiem transitivamente um no outro. O administrador pode determinar se o trust é bilateral ou unidirecional.
  • Realm Trust: Este tipo é usado para estabelecer relações de confiança bidirecionais ou unidirecionais entre uma floresta Active Directory e um ambiente Kerberos não Windows, como UNIX, Linux ou sistemas operacionais do tipo UNIX.
  • External Trust: Trusts externos são trusts não-transitivos criados entre domínios Active Directory e aqueles localizados em uma floresta diferente, ou entre uma floresta AD e um domínio pré-Windows Server 2000 como Windows NT.
  • Shortcut Trust: Um atalho de confiança estabelece manualmente uma relação de confiança entre domínios em grandes florestas do Active Directory que permite que os tempos de autenticação melhorem encurtando o caminho de confiança entre domínios.

A capacidade de criar uma relação de confiança entre florestas é limitada aos usuários privilegiados que fazem parte do grupo de segurança Domain Admins ou Enterprise Admins e têm privilégios de criação de confiança. Os administradores, entretanto, também podem restringir o acesso a recursos a certas identidades dentro de uma floresta, se necessário. A Microsoft também fornece um snap-in para domínios AD e trusts que verifica a confiança entre florestas, árvores ou domínios.

Relações de confiança entre florestas, árvores e domínios estabelece um caminho onde os usuários são capazes de acessar os recursos de que necessitam. Como descrito, algumas dessas relações são automaticamente estabelecidas pelo Active Directory e permitem a confiança transitória nos dois sentidos. Os trusts cross-forest, entretanto, requerem uma cuidadosa consideração das relações entre usuários e objetos dentro dos domínios, e a confiança que deve ser estabelecida a fim de acessar prontamente os recursos de ambos os lados da relação.

Leitura adicional

Aqui estão as entradas anteriores em nossa série QOMPLX Knowledge; procure mais em nossa série QOMPLX Knowledge nos próximos dias e semanas:

QOMPLX Knowledge: Ataques de Bilhetes Dourados Explained

QOMPLX Conhecimento: Ataques de Ticket Prata Explicado

QOMPLX Conhecimento: Respondendo aos ataques com Bilhetes Dourados

QOMPLX Conhecimento: Ataques DCSync Explained

QOMPLX Conhecimento: DCShadow Attacks Explained

QOMPLX Conhecimento: Ataques Pass-the-Ticket Explained

QOMPLX Conhecimento: Ataques Kerberoasting Explained

QOMPLX Conhecimento: Ataques da Delegação Kerberos Explicados

Outros links:

MSMVPs: Active Directory Trusts

TechGenix: Gestão de Active Directory Trusts no Windows Server 2016

Microsoft: Considerações de Segurança para Trusts

Microsoft: O que são Domínios e Florestas

TechTarget: Como Criar um Cross-Forest Trust em AD

Mitre ATT&CK: Domain Trust Discovery

Harmj0y: Um Guia para Atacar Trusts de Domínios

Articles

Deixe uma resposta

O seu endereço de email não será publicado.