Атаки на Active Directory: инструменты, уязвимости и современные методы защиты

Active Directory (AD) — это невидимый центр управления корпоративной инфраструктурой. Он объединяет учётные записи пользователей, разрешения, политики и процессы аутентификации в единую систему. Когда всё работает штатно, пользователь даже не замечает существование AD. Однако одна неверная настройка или проигнорированный параметр может поставить под угрозу безопасность всего домена.

Сегодня атаки на Active Directory вышли далеко за пределы профессионального пентестинга и стали неотъемлемой частью арсенала киберпреступников. Автоматизированные инструменты способны сканировать сеть, похищать хеши и визуализировать возможные пути повышения привилегий. Поэтому ключевая задача современного администратора — не только своевременная установка обновлений, но и глубокое понимание механизмов Kerberos, политик делегирования и уязвимых ACL.

Инструменты атак: что используют злоумышленники

Mimikatz и Rubeus — дуэт, “открывающий” Kerberos

Mimikatz сегодня является частью почти каждого сценария кибератаки. Он позволяет извлекать пароли из процесса LSASS, создавать «golden ticket» и «silver ticket», выполнять Pass-the-Hash и другие техники.

Rubeus же оптимизирован для проведения Kerberoasting и AS-REP Roasting, выполняя их более скрытно и чисто.

BloodHound и SharpHound — граф привилегий

SharpHound собирает данные о SPN, группах, объектах и разрешениях. BloodHound превращает эти данные в наглядный граф и показывает пути повышения привилегий за считанные секунды. Инструмент служит зеркалом не только для атакующего, но и для специалиста по защите.

Impacket и CrackMapExec — глубокий доступ к сервисам Windows

Impacket предоставляет мощный набор скриптов: secretsdump, ntlmrelayx, wmiexec и другие. CrackMapExec работает как автоматизированный комбайн, позволяющий одной командой проверять сотни хостов, выполнять эксплуатацию или проводить relay-атаки.

PowerView и ADRecon — разведка на базе PowerShell

PowerView выявляет права, делегирование, сервисные учётные записи и доверительные отношения в домене. ADRecon собирает полную конфигурацию домена и предоставляет удобный аналитический отчёт.

Уязвимости: самые опасные “открытые двери” в AD

Ошибки в настройках Kerberos

  • Kerberoasting — позволяет офлайн-взломать пароль учётной записи с SPN.
  • AS-REP Roasting — даёт возможность получать хеши от аккаунтов без PREAUTH.

Неправильные ACL и делегирование

Группы поддержки или сервисные группы могут случайно получить чрезмерные права. При ошибках в Resource-Based Constrained Delegation (RBCD) злоумышленник может создавать фальшивые билеты от имени любого SPN.

Устаревшие протоколы и старые хеши

Если SMBv1, LM или NetNTLMv1 не отключены, перемещение по сети становится слишком простым. Старые принтеры и серверы часто создают подобные риски.

Уязвимость DNSAdmins

Участники группы DNSAdmins могут загружать кастомные DLL через DNS-сервер и выполнять код с привилегиями SYSTEM на контроллере домена — риск, который нередко остаётся незамеченным.

Цепочка атаки: путь до Domain Admin

  1. Разведка
    Сбор SPN, групп, ACL и доверительных отношений через SharpHound.
  2. Извлечение данных
    Сессии LSASS, NTLM-хеши и Kerberos-билеты через Mimikatz.
  3. Повышение привилегий
    Получение всех хешей через DCSync или скрытое изменение ACL через DCShadow.
  4. Закрепление
    Вредоносные GPO, изменение SIDHistory, планировщики задач и другие методы персистентности.

Многоуровневая защита: практические рекомендации

1. Модель уровней (Tiering) и принцип минимальных привилегий

Разделите инфраструктуру на три уровня:

  • Tier 0 — контроллеры домена, PKI;
  • Tier 1 — серверы;
  • Tier 2 — рабочие станции.

Для каждого уровня должны быть отдельные учётные записи администраторов и отдельные сегменты.

2. Современные политики аутентификации

  • Включите LDAP signing и Channel Binding.
  • Полностью блокируйте LM и NetNTLMv1.
  • Используйте gMSA для сервисных учётных записей.

3. AD без обновлений — уязвимый AD

Следите за ежемесячными CVE Microsoft, связанными с Kerberos, NTLM и LSASS.
Уязвимости, влияющие на PAC-валидацию (например, CVE-2024-20677), являются критическими.

4. Мониторинг и аналитика

  • Events: 4662, 4742, 4720, 4728 — обязательно под контролем.
  • Sysmon EventID 11 — индикатор подозрительных DLL.
  • Zeek/Suricata — выявляют SMB relay и аномальный Kerberos-трафик.

5. Временные (JIT) административные права

Администратор получает роль Domain Admin, например, на 30 минут — после этого право автоматически удаляется.

6. Сегментация сети

  • Строго ограничивайте SMB, RPC и DNS transfer.
  • Настройте VLAN-разделение.
  • Управляйте локальными паролями через LAPS.

Если атака уже началась

  • Детекция: Kerberos 65535 — признак поддельного TGT; поток 4768 — намёк на Roasting.
  • Ограничение распространения: изолируйте подозрительный контроллер, проведите двухэтапную ротацию KRBTGT.
  • Очистка: проверьте AdminSDHolder, SIDHistory и GPO.
  • Восстановление: чистый System State, пересоздание trust-отношений, обновление сертификатов.

ctive Directory — фундамент современной корпоративной идентификационной системы. Чем больше растёт сеть, тем выше требования к её защите, а злоумышленники не упускают шанс воспользоваться даже самыми мелкими ошибками.

Полностью устранить уязвимости невозможно, но значительно сократить поверхность атаки реально:
грамотная сегментация, строгие политики, современная аутентификация, постоянный мониторинг и автоматизированная аналитика позволяют существенно повысить устойчивость AD.

Основное преимущество администратора Active Directory — способность настроить систему так, чтобы она “говорила” с ним через логи, предупреждения и аналитические отчёты. Иначе одна успешная эксплуатация может превратить спокойный вечер пятницы в долгий цикл форензики.