• Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    Cyberbezpieczeństwo Hacking

    Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny

    Marek „Netbe” Lampart Opublikowane w

    🧬 Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny

    📚 Czym jest plik ntds.dit?

    ntds.dit to krytyczny plik bazy danych Active Directory, zawierający informacje o użytkownikach, hasłach (w postaci hashy), strukturze OU (organizacyjnych jednostek) i konfiguracji domeny. Znajduje się zazwyczaj na kontrolerze domeny pod:

    C:\Windows\NTDS\ntds.dit

    💥 Dlaczego jest celem ataku?

    Zawiera wszystkie hasła użytkowników w postaci hashy (NTLM, czasem Kerberos AES), w tym kont uprzywilejowanych jak Administrator czy krbtgt. Przejęcie tego pliku oznacza pełną kontrolę nad domeną.

    🧠 Etapy ataku na ntds.dit

    1. 🛠️ Ustalenie środowiska

    • Zidentyfikowanie kontrolera domeny (DC),
    • Zdobycie odpowiednich uprawnień (najczęściej SYSTEM lub Domain Admin).

    2. 📦 Eksfiltracja danych

    📂 Metody:

    • Volume Shadow Copy (VSS) – tworzenie kopii pliku bez blokady systemowej: 
      vssadmin create shadow /for=C:

      Następnie kopiowanie pliku z lokalizacji kopii:

      copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\ntds.dit .
    • NTDSUtil – narzędzie Microsoft do eksportu: 
      ntdsutil "activate instance ntds" "ifm" "create full c:\ntds" q q
    • CrackMapExec, secretsdump.py (Impacket) – zdalne wyciąganie hashy: 
      secretsdump.py -just-dc domain.local/Administrator:password@dc.domain.local

    🧪 Co można uzyskać?

    • Hashe NTLM wszystkich użytkowników – do łamania offline lub Pass-the-Hash,
    • Hash konta krbtgt – do wygenerowania Golden Ticket,
    • Dane o strukturze domeny, trustach, kontach serwisowych.
    Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny

    🔥 Scenariusze wykorzystania

    • 🔓 Cracking haseł offline (John The Ripper, Hashcat),
    • 🪄 Pass-the-Hash lub Golden Ticket – podszywanie się pod dowolnych użytkowników,
    • 🧬 Rekonstrukcja topologii AD – przygotowanie kolejnych ataków lateralnych,
    • 🎯 Użycie hashy do uzyskania dostępu RDP, SMB, LDAP itp.
    Czytaj  Analiza kodu złośliwego oprogramowania wykorzystywanego do tworzenia botnetów DDoS

    🛡️ Jak się bronić?

    🔐 Dobre praktyki:

    • Ogranicz dostęp do kontrolerów domeny – tylko niezbędne konta.
    • Wdróż LAPS – unikatowe hasła administratorów lokalnych.
    • Stosuj EDR – wykrywaj nietypowe operacje na VSS lub pliku ntds.dit.
    • Monitoruj ruch sieciowy – podejrzane użycie SMB, LDAP i RPC.
    • Wykrywaj eksploitację Shadow Copy – m.in. Event ID 5136.
    • Segmentuj sieć i stosuj MFA dla administratorów.

    🧰 Narzędzia używane w atakach:

    • Impacket – secretsdump.py (wyciąganie hashy zdalnie),
    • Mimikatz – ekstrakcja danych lokalnie,
    • DSInternals – analiza ntds.dit,
    • NTDSUtil – eksport baz AD.

    📊 Podsumowanie

    Przejęcie ntds.dit to jeden z najbardziej krytycznych scenariuszy ataku na środowisko Active Directory. Dostarcza nie tylko haseł, ale także kompletnej mapy struktury domeny. Ochrona tego pliku to priorytetowy aspekt bezpieczeństwa IT w firmach.

     

    Polecane wpisy
    Bezpieczeństwo dzieci w social media i grach online – praktyczny poradnik
    Bezpieczeństwo dzieci w social media i grach online – praktyczny poradnik

    Bezpieczeństwo dzieci w social media i grach online – praktyczny poradnik Coraz młodsze dzieci korzystają z social media i gier Czytaj dalej

    Kryptowaluty i blockchain: rola algorytmów kryptograficznych w ich bezpieczeństwie (poza podstawami)
    Kryptowaluty i blockchain: rola algorytmów kryptograficznych w ich bezpieczeństwie (poza podstawami)

    💰 Kryptowaluty i blockchain: rola algorytmów kryptograficznych w ich bezpieczeństwie (poza podstawami) Blockchain i kryptowaluty kojarzą się dziś z nowoczesnymi Czytaj dalej

    Powiązane wpisy:

    1. Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket
    2. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    3. Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    4. Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    5. Pass-the-Hash (PtH) – ataki bez znajomości haseł
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również