Roubando Credenciais com um Provedor de Suporte de Segurança (SSP)

Cenários de Ataque SSP

Um Provedor de Suporte de Segurança é uma biblioteca de vínculo dinâmico (DLL) envolvida em operações relacionadas à segurança, incluindo autenticação. A Microsoft fornece vários SSPs, incluindo pacotes para Kerberos e NTLM. Vamos analisar algumas das razões pelas quais um atacante pode querer registrar um SSP malicioso em um computador:

• Um atacante comprometeu um servidor membro como Administrador local, mas possui direitos limitados para se mover lateralmente pelo domínio.
• Um atacante comprometeu um DC como Domain Admin ou Administrator, mas deseja elevar seus privilégios para Enterprise Admin para se mover lateralmente entre domínios.
• Um atacante comprometeu um DC como um Domain Admin usando um ataque Pass-the-Hash, mas deseja utilizar a senha em texto claro do administrador para acessar outras aplicações, como o Outlook Web Access ou uma conexão de área de trabalho remota.

Em qualquer um desses cenários, um ataque SSP pode ser muito eficaz.

Realizando um ataque SSP

Realizar um ataque SSP é muito simples. Para este post, vamos nos concentrar nos ataques que visam um controlador de domínio. Vamos supor que comprometemos uma conta de Administrador de Domínio e queremos injetar um SSP malicioso na memória. Tudo o que precisamos fazer é emitir o comando misc::memssp em Mimikatz:

Agora o SSP é injetado na memória. No entanto, se o DC for reiniciado, o SSP será perdido e deve ser injetado novamente. Isso pode ser resolvido ao registrar uma DLL como um SSP que é fornecido com Mimikatz.

Uma vez que o SSP está registrado, todos os usuários que iniciam sessão no DC, bem como todos os serviços locais, registrarão suas senhas no arquivo c:WindowsSystem32mimilsa.log. Esse arquivo conterá as senhas em texto claro de todos os usuários que iniciaram sessão e contas de serviço em execução no sistema:

Protegendo Contra Ataques SSP

Detecção

Ataques SSP podem ser difíceis de detectar. Para verificar se algum dos seus DCs já foi comprometido, você pode executar o seguinte comando PowerShell para verificar em cada DC do domínio a existência do arquivo mimilsa.log. Com sorte, os resultados voltarão vazios.

Prevenção

Uma vez que ataques SSP em DCs exigem que um atacante tenha comprometido o DC como um Domain Admin ou Administrator, a melhor prevenção é manter essas contas seguras limitando estritamente a associação nesses grupos, reforçando uma governança de conta rigorosa e monitorando a atividade das contas privilegiadas.

Como a Netwrix pode ajudar

Identifique problemas de segurança no seu ambiente de AD e corrija as lacunas antes que atores mal-intencionados os explorem usando ferramentas como Mimikatz com a solução de segurança do Active Directory da Netwrix. Isso permitirá que você:

• Descubra riscos de segurança no Active Directory e priorize seus esforços de mitigação.
• Fortaleça as configurações de segurança em toda a sua infraestrutura de TI.
• Detecte e contenha prontamente ameaças avançadas, como ataques de Golden Ticket.
• Responda a ameaças conhecidas instantaneamente com opções de resposta automatizadas.
• Minimize as interrupções nos negócios com uma rápida recuperação do Active Directory.