Ataki na Active Directory – najczęstsze techniki przejęcia domeny
🔐 Ataki na Active Directory – najczęstsze techniki przejęcia domeny
Active Directory (AD) to centralny punkt uwierzytelniania, autoryzacji i zarządzania tożsamością w środowiskach Windows.
Dla atakujących oznacza to jedno: kto kontroluje AD, kontroluje całą organizację.
Nieprzypadkowo w większości poważnych incydentów (APT, ransomware, espionage) końcowym celem jest przejęcie domeny.
Ten artykuł edukacyjnie pokazuje:
- najczęstsze techniki ataków na AD,
- typowe błędy konfiguracyjne,
- jak przebiega eskalacja uprawnień,
- oraz jak skutecznie się bronić.
🧠 Dlaczego Active Directory jest „świętym Graalem” atakujących?
Po przejęciu AD atakujący może:
- tworzyć i usuwać konta,
- resetować hasła administratorów,
- rozprzestrzeniać malware przez GPO,
- wyłączać zabezpieczenia,
- utrzymać trwały, niewykrywalny dostęp.
AD to jeden punkt awarii – i często najsłabiej monitorowany.
🔓 Kerberoasting – atak na konta usług
🎯 Na czym polega?
Kerberoasting polega na:
- pobraniu biletów Kerberos (TGS) dla kont usług,
- wyciągnięciu ich hashy,
- łamaniu ich offline.
🔧 Dlaczego to działa?
- konta usług często mają:
- słabe hasła,
- hasła bez rotacji,
- nadmierne uprawnienia.
🧨 Skutki
- przejęcie konta usługi,
- często eskalacja do Domain Admina.
🛡️ Obrona
- długie, losowe hasła kont usług
- gMSA zamiast klasycznych kont
- regularny audyt SPN
📌 MITRE ATT&CK:
T1558.003 – Kerberoasting
🔑 Pass-the-Hash – logowanie bez hasła
🎯 Na czym polega?
Atakujący:
- kradnie hash NTLM,
- używa go do uwierzytelnienia,
- bez znajomości hasła w jawnej postaci.
🔧 Typowe źródła hashy
- pamięć LSASS
- zrzuty pamięci
- stare sesje administratorów
🧨 Dlaczego to wciąż działa?
- brak Credential Guard
- logowanie adminów na stacjach roboczych
- wspólne hasła lokalnych adminów
🛡️ Obrona
- LAPS / Windows LAPS
- Credential Guard
- oddzielne konta adminów
- blokada NTLM tam, gdzie możliwe
📌 MITRE ATT&CK:
T1550.002 – Pass the Hash
🎟️ Golden Ticket – pełna kontrola nad domeną
🎯 Na czym polega?
Golden Ticket to fałszywy bilet Kerberos, wygenerowany przy użyciu:
- hasha konta krbtgt.
Daje on:
- dowolne uprawnienia,
- dowolny czas ważności,
- pełną kontrolę nad domeną.
🧨 Dlaczego to krytyczne?
- atak jest praktycznie niewykrywalny,
- przetrwa zmiany haseł użytkowników,
- działa latami.
🛡️ Obrona
- regularna rotacja hasła krbtgt (2x)
- monitorowanie anomalii Kerberos
- Tiered Administration Model
📌 MITRE ATT&CK:
T1558.001 – Golden Ticket
⚙️ Najczęstsze błędy konfiguracyjne Active Directory
❌ Typowe problemy
- Domain Admin używany do codziennej pracy
- brak segmentacji administracyjnej
- stare protokoły (NTLMv1, SMBv1)
- brak audytu zmian w AD
- zbyt szerokie delegacje uprawnień
💣 Efekt
Atakujący nie musi używać exploitów – wystarczą błędy konfiguracji.
⬆️ Jak atakujący eskalują uprawnienia w AD?
🔄 Najczęstszy scenariusz
- initial access (phishing, exploit)
- kradzież poświadczeń
- ruch boczny
- eskalacja do DA
- persistence w AD
🔧 Techniki
- abuse delegacji Kerberos
- ACL abuse (WriteDACL, GenericAll)
- modyfikacja GPO
- shadow credentials
- dodanie konta do chronionych grup
📌 MITRE ATT&CK:
TA0004 – Privilege Escalation
🛡️ Jak skutecznie bronić Active Directory?
✅ Fundamenty bezpieczeństwa AD
- Tier 0 / Tier 1 / Tier 2
- MFA dla adminów
- oddzielne konta uprzywilejowane
- segmentacja sieci
- monitorowanie zdarzeń AD
🔍 Monitoring i detekcja
- SIEM + logi AD
- alerty na:
- zmiany grup uprzywilejowanych
- modyfikacje GPO
- anomalie Kerberos
- regularne testy (Purple Team)
📌 Najważniejsze wnioski
- Active Directory to główny cel ataków
- Większość przejęć domeny nie wymaga exploitów
- Najgroźniejsze ataki są ciche i długotrwałe
- Dobra konfiguracja + monitoring = realna ochrona
Jakie są najnowsze trendy w cyberbezpieczeństwie dla użytkowników domowych? W miarę jak nasza codzienna aktywność przenosi się do sieci, kwestia Czytaj dalej
🧩 Kryzys tożsamości cyfrowej: Jak potwierdzać swoją tożsamość w coraz bardziej złożonym świecie? 📌 Wprowadzenie W erze cyfrowej każdy z Czytaj dalej
