Active Directory tarmoqlarida «Kerberos delegation» zaifligidan foydalanish: Yangi hujum usuli

Active Directory (AD) tarmoqlarida Kerberos delegationning zaifliklaridan foydalanadigan yangi hujum usuli aniqlandi. Bu usul korporativ xavfsizlik uchun jiddiy xavf tugʻdiradi. Hujumchilar ushbu zaiflikdan foydalanib, tarmoqda foydalanuvchilarni oʻzlashtirish va butun domenni buzish imkoniyatiga ega boʻlishlari mumkin.

Kerberos delegation – bu Active Directory tizimidagi mexanizm boʻlib, ilovalarga foydalanuvchilar nomidan resurslarga kirish imkoniyatini beradi. Delegationning uch turi mavjud:

1. Cheklanmagan Delegation (Unconstrained Delegation): Windows Server 2000 da joriy etilgan. Ushbu tur xizmatlarga foydalanuvchilarni toʻliq oʻzlashtirish imkoniyatini beradi, bu esa hujumchilar uchun qulay maqsadga aylanishi mumkin.
2. Cheklangan Delegation (Constrained Delegation): Xizmatlarga faqat maʼlum resurslarga kirish huquqini beradi.
3. Resurs Asosidagi Cheklangan Delegation (Resource-Based Constrained Delegation): Resurslar oʻzlariga kirish huquqini boshqaradi.

Yangi hujum usuli aynan Cheklanmagan Delegation zaifligidan foydalanadi. Bu xususiyat eski tizimlarda hali ham qoʻllanilmoqda, bu esa ularni hujumchilar uchun osongina nishonga aylantiradi.

Mutaxassislar tomonidan kashf etilgan usulda hujumchilar Active Directory tizimida «Ghost Server» (Ruh Server) deb nomlangan obyekt yaratadi. Bu obyekt haqiqiy serverga oʻxshaydi, lekin uning aslida jismoniy asosi yoʻq. Hujumning asosiy bosqichlari quyidagicha:

1. Ghost Server Yaratish: Hujumchi AD tizimida Cheklanmagan Delegation yoqilgan obyekt yaratadi va uning DNS yozuvlarini boshqa mashinaga (masalan, honeypot yoki buzilgan tizim) yoʻnaltiradi.
2. SPN Manipulyatsiyasi: Hujumchi setSPN.exe kabi vositalar yordamida Ghost Serverning domen nomini oʻz nazoratidagi mashinaga bogʻlaydi.
3. Hujumni Amalga Oshirish: Haqiqiy foydalanuvchilar yoki tizimlar Ghost Server bilan aloqa qilganda, ularning hisob maʼlumotlari hujumchi nazoratidagi mashinaga yoʻnaltiriladi. Bu esa hujumchilarga yuqori imtiyozli hisoblarni (masalan, Domain Admin) oʻzlashtirish imkoniyatini beradi.

Ushbu usul hujumchilarga AD tarmoqlarida imtiyozlarni oshirish va lateral harakatlanish (tarmoq boʻylab harakatlanish) imkoniyatini beradi. BloodHound va Impacket kabi vositalar hujumchilarga bunday zaifliklarni aniqlash va ulardan foydalanishni osonlashtiradi.

Ushbu xavfni kamaytirish uchun tashkilotlar quyidagi choralarni koʻrishi mumkin:

1. Eski tizimlarni yangilash: Cheklanmagan Delegation oʻrniga Cheklangan yoki Resurs Asosidagi Cheklangan Delegationdan foydalanish.
2. Yuqori imtiyozli hisoblarni himoya qilish: Bunday hisoblarni «Protected Users» guruhiga qoʻshish va «Account is sensitive and cannot be delegated» sozlamasini yoqish.
3. SPN konfiguratsiyasini tekshirish: setSPN.exe yoki uchinchi tomon yechimlari yordamida SPN sozlamalarini muntazam tekshirish.
4. Deception texnikasini qoʻllash: Agar Ghost Server kabi yashirin obyektlardan foydalanilsa, ularga qatʼiy kirish nazorati (ACL) va qatʼiy monitoring qoʻllash.

Active Directory tizimlarida Kerberos delegation kabi qulayliklar bir vaqtning oʻzida xavfsizlik zaifliklarini ham keltirib chiqarishi mumkin. Yangi hujum usuli shuni koʻrsatadiki, eski konfiguratsiyalar hali ham kiberxavflar uchun katta tahdid hisoblanadi. Tashkilotlar ushbu xavflarni bartaraf etish uchun zamonaviy yechimlarga oʻtishni va qatʼiy monitoringni yoʻlga qoʻyishni boshlashlari kerak.

Kiberxavfsizlik dunyosi doimiy ravishda rivojlanmoqda, shuning uchun tashkilotlar yangi hujum usullarini oʻrganib, ularga qarshi choralar koʻrishlari zarur. Faqatgina proaktiv yondashuv va zamonaviy texnologiyalardan foydalanish orqali kiberhujumlarning oldini olish mumkin.