本文擷取自資安人
微軟的 Active Directory(簡稱 AD)推出至今已 25 年,仍然是許多企業環境中的核心身分管理系統。正因為它在企業網路中扮演如此關鍵的角色,持續成為駭客優先鎖定的目標。
AD 之所以始終是駭客的首要目標,在於它在身分識別和存取管理上的核心地位。一旦 AD 遭到入侵,攻擊者就等於掌握了整個IT環境的鑰匙,因為AD控制著組織內所有網路資源的存取權限。
多年來,駭客持續改進攻擊手法,利用系統配置錯誤、資安漏洞、權限提升路徑、驗證協定弱點以及其他問題來入侵 AD 環境。混合式身分架構的興起,加上 Microsoft 雲端版 Entra ID 的廣泛採用,更使這些挑戰雪上加霜,讓許多組織在同時維護傳統和現代身分系統時遭遇困境。
目前難以取得 Active Directory 的確切安裝使用量統計,但根據海外市調公司五年前的評估報告,全球前 1000 大企業中約 90% 使用 AD 作為主要的身分驗證與存取控制機制。多數產業觀察家認為,這個比例至今仍維持不變。
各種攻擊手法層出不窮
多年來,資安人員發展出一套專業術語來描述針對 AD 的各種攻擊手法。其中最常見的包括 Kerberoasting、Pass-the-hash、Golden/Silver Ticket 攻擊、DCShadow 以及 DCSync 等。- Kerberoasting 是一種後滲透攻擊手法,駭客會從記憶體中竊取雜湊密碼。
- Pass-the-hash 攻擊是駭客竊取雜湊密碼後,利用這些雜湊值來冒充合法使用者進行身分驗證。
- 在 Golden Ticket 攻擊中,駭客會利用 Kerberos 協定的弱點來取得目標網域的完整控制權。
- Silver Ticket 攻擊則是駭客利用竊取的憑證偽造服務票證,藉此存取特定服務。
- 在 DCShadow 攻擊中,駭客會透過惡意網域控制站向 AD 注入未經授權的資料;而在 DCSync 攻擊中,攻擊者會偽裝成合法的網域控制站來直接竊取密碼雜湊值。
攻擊手法不斷演進
專家指出,過去 25 年來,駭客攻擊 AD 的動機基本維持不變,但隨著自動化工具普及,其攻擊手法已顯著演進。雖然傳統攻擊手法仍然有效,但現今駭客運用自動化工具、AI 驅動的偵查技術,以及寄生攻擊(Living-off-the-land)等策略來躲避偵測。攻擊者更傾向利用雲端攻擊媒介,例如濫用 OAuth 權杖持久性和入侵 Entra ID 帳號,藉此滲透內部部署的 AD 環境。
相關文章:就怕不知不覺!企業組織如何防禦「寄生攻擊」
特別令人擔憂的是這些行之有效的傳統攻擊手法。例如,俄羅斯駭客組織 Midnight Blizzard 就是透過密碼噴灑攻擊(Password Spraying)在去年成功入侵微軟環境。此外,憑證填充和暴力破解等基礎攻擊手法依然普遍。
這些技術之所以持續奏效,主要是因為它們會產生大量雜訊,使偵測變得困難。數據顯示,31%的初始攻擊源自暴力破解,而近三分之一的帳號遭入侵案例來自密碼噴灑攻擊。
混合式攻擊則成為新興威脅,駭客利用 Azure AD Connect 等工具攻擊內部部署 AD 和雲端環境之間的連結。此外,攻擊者越來越傾向採用慢速無檔案攻擊技術,並經常利用遭入侵的 AD CS 設定來簽發惡意憑證。
低估資安風險
資安專家指出,組織在應對 AD 威脅時最大的錯誤,是誤認 AD 的預設設定已足夠安全。實際上,AD 及相關系統的主要資安漏洞來自密碼強度不足及易於破解的設定。此外,缺乏多層安全防護機制(如多因素驗證 MFA)更使問題雪上加霜。雖然 AD 維持其基礎架構以支援現代環境運作,但其基礎安全協定卻未有顯著進步。過時且脆弱的安全設定仍然存在,使系統容易遭受現代攻擊手法的侵害。
專家進一步指出企業資安團隊的另一項重大疏失:缺乏完善的 AD 復原策略。由於許多組織未建立並測試資安韌性復原計畫,因此特別容易受到勒索軟體或資料抹除攻擊的威脅,最終導致業務癱瘓。根據 Sophos 2023 年的分析,駭客從初始入侵到取得組織 AD 環境存取權限,中位數時間僅需 16 小時。
駭客也逐漸將 AD 備份視為攻擊目標。他們深知一旦加密或破壞備份,組織將不得不支付贖金來恢復營運。若組織缺乏不可竄改的離線備份,且未實際測試過復原流程,便可能遭遇長期停機,並面臨更大的勒索威脅。
雲端與混合環境的挑戰
近年來雲端服務普及,促使許多組織同時維護內部部署 AD 和雲端 Microsoft Entra ID 環境。這些組織通常將內部部署 AD 的身分資料同步至 Entra ID,讓使用者能以相同的帳號密碼存取兩個環境。然而,這種混合式環境為駭客創造了新的攻擊面,而許多組織對此毫無防範。主要問題在於資訊部門為求加快雲端移轉進度,在同步帳號密碼時往往忽視了密碼強度和複雜度等重要資安要求。AD 的預設密碼設定,包括長度、複雜度要求和到期規則,雖然在當初設計時可能合理,但到了 2025 年已遠低於基本資安標準。
企業必須與時俱進,更新密碼政策以符合現代資安實務,即採用更長且更複雜的密碼,並導入多重要素驗證等額外防護機制。若仍在使用內部部署 AD 的預設密碼控制,這些弱點將透過網路直接暴露給攻擊者。
AD CS成為新興攻擊目標
反向攻擊同樣危險。攻擊者一旦入侵內部部署的 AD 環境,就能透過同步機制或竊取 OAuth 權杖來滲透雲端服務。由於安全模型各異且日誌記錄分散,使統一監控和控管變得更加困難。設定錯誤的同步工具更可能導致漏洞在不同環境間擴散。在混合環境中管理憑證,特別是在 AD CS 方面,更為安全維護帶來諸多挑戰。AD CS(Active Directory 憑證服務)讓組織能夠發行、管理和驗證 PKI 憑證,以進行安全認證、加密和身分管理。2021 年,SpecterOps 的研究人員發表了「Certified Pre-Owned」報告,詳細揭露了多種針對 AD CS 的潛在攻擊手法,並提出防護建議。然而,這些問題至今仍未解決。去年,帳號管理業者 BeyondTrust 分析了兩種最初由 SpecterOps 發現的攻擊手法,這些手法自 2021 年以來已更加普及。
其中一種是 ESC1 攻擊,被描述為濫用設定錯誤的憑證範本,允許未經授權的憑證請求,讓攻擊者得以取得更高權限。這類攻擊使駭客能在遭入侵的網路中進行橫向移動,並建立持久性後門。另一種是 ESC4 攻擊,此攻擊會利用金鑰託管設定的漏洞,使攻擊者能取得儲存在 CA 資料庫中的私鑰,進而解密受保護的資料。
最近針對 AD CS 的攻擊主要集中在濫用設定錯誤和過於寬鬆的憑證範本與自動註冊設定。這些攻擊已從粗糙的入侵手法,演變為針對性地濫用憑證政策和設定弱點。
NTLM 中繼攻擊如 PetitPotam,就是透過濫用 AD CS 中的加密檔案系統遠端協定(MS-EFSRPC)來進行攻擊,使情況更加複雜。這類攻擊會「透過 MS-EFSRPC 協定強迫易受攻擊的伺服器向攻擊者控制的端點進行驗證,進而暴露可用來入侵 AD CS 元件的 NTLM 憑證」。
專家建議,組織可以透過停用過時的通訊協定、為特權帳號強制實施 MFA,以及採用安全的委派機制來降低 AD 相關威脅的風險。此外,實施持續性的 AD 安全監控和異常偵測也有助於即時緩解威脅。
對於高度仰賴傳統 AD 的組織而言,身分管理現代化不一定要全面替換系統。相反地,他們應該著重於逐步整合現代身分解決方案,例如條件式存取、即時特權和雲端身分治理等方式來降低技術債。透過採取循序漸進、以安全為優先的方法,組織可以延長其 AD 基礎架構的使用壽命,同時提升對現代威脅的整體防禦能力。
本文轉載自 DarkReading。