Lista de tareas a realizar si un Directorio Activo ha sido comprometido

Normalmente el compromiso total de un Directorio Activo es el "game over" para cualquier organización, pero la partida tiene que continuar... Evidentemente en la gran mayoría de las ocasiones no es posible destruir todo y empezar de 0, así que las medidas correctoras y preventivas después de un ataque se vuelven cruciales para volver a la normalidad de una forma relativamente segura. Hoy os traemos una lista de comprobaciones y acciones recopiladas por pwndefend bastante completas y a tener en cuenta casi en cualquier escenario post-compromiso:          

Comprobar/revisar:

  • los dominios y confianzas de Active Directory
  • los permisos de acceso delegado de Active Directory
  • los cambios de objetos en torno a las escalas de tiempo de acceso/eventos iniciales
  • el valor de cambio de contraseña de la cuenta de la computadora. Por defecto son 30 días, un atacante podría cambiar este valor para tener acceso mediante un hash de máquina durante más tiempo. 1.
  • si hay tareas programadas maliciosas
  • si hay filtros de eventos WMI maliciosos
  • si hay ejecuciones automáticas maliciosas u otros mecanismos de persistencia basados ​​en el registro
  • si hay puertas traseras del estilo utilman
  • si hay impresoras/controladores de impresora maliciosos
  • los descriptores de seguridad de Service Control Manager (SCM). 2.
  • las pertenencias a grupos con referencias conocidas (metadatos de replicación, copia de seguridad, herramientas/informes de informes de AD, etc.)
  • los scripts de inicio de sesión en GPOS y SYSVOL
  • Azure AD/AD Connect
  • el atributo msDsConsistencyGuid de las cuentas comprometidas
  • posibles Backdoors de RBCD
  • integridad de zonas DNS (Pública y Privada)
  • revisar Exchange
  • takeover de cuentas con “Key Trust Account Mapping” (resetear si es necesario). 3.    

Resetear (dos veces) las contraseñas:

  • de todas las cuentas de usuario
  • priorizar las de administrador
  • priorizar las cuentas de servicio
  • no olvidar la contraseña del KRBTGT (pero tener en cuenta los problemas con la replicación)
  • las cuentas de computadora
  • las contraseñas de LAPS

Cambiar:

  • los certificados de descifrado y firma de tokens de ADFS
  • cuentas de servicio administradas por grupos (GMSA)
  • permisos en el objeto AdminSDHolders
  • revocar y volver a emitir todos los certificados de ADCS
  • borrar VSS/Copias de seguridad/Snapshots que probablemente se clasifiquen como no seguras  
  •  domain trust keys

Mejorar y/o instalar:

  • Hardenizar el Directorio Activo (mirar pingcastle y MITRE)
  • Hardenizar los endpoints
  • Actualizar AV
  • Implementar EDR
  • Implementar SYSMON
  • Implementar nuevos controladores de dominio (mantener los metadatos de dominio/bosque existentes)

Referencias:

  1. https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age
  2. https://docs.microsoft.com/en-us/windows/win32/services/service-security-and-access-rights
  3. https://posts.specterops.io/shadow-credentials-abusing-key-trust-account-mapping-for-takeover-8ee1a53566ab

Comentarios