【要約】『ADの横展開(ラテラルムーブメント)の技術』〜なぜドメイン管理者は気づかぬうちに陥落するのか〜 [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
攻撃者がネットワークへの足場を確保した後、ドメイン管理者権限を奪取し、環境全体を制圧するプロセスが深刻な脅威となる。
- ・認証プロトコルの仕様を悪用され、正規の通信と区別がつかない。
- ・Pass-the-Hash等の手法により、パスワードを知らずに横展開される。
- ・RC4等のレガシーな暗号化方式が、オフライン解析の標的となる。
- ・正規の管理ツールが悪用され、検知が困難になる。
// Approach
攻撃者がドメイン制圧に至るプロセスを、MITRE ATT&CKに基づきフェーズごとに分類して詳解する。
- ・フェーズ0(列挙): BloodHoundを用いてドメイン内の特権経路を可視化する。
- ・フェーズ1(資格情報窃取): PtH、PtT、Kerberoasting、AS-REP Roastingにより認証情報を奪取する。
- ・フェーズ2(制圧): DCSyncやGolden/Silver Ticketを用いてドメイン全体の制御権を永続化する。
- ・フェーズ3(LotL): RDPやWMI等の正規ツールを悪用し、痕跡を最小限に抑える。
// Result
防御側が取るべき具体的な検知・防御策が体系的に提示されている。
- ・イベントID(4624, 4769等)に基づいたSIEMでの監視指針。
- ・gMSAの活用やLAPSの導入、KRBTGTの定期リセットといった具体的な対策。
- ・Tier0管理による特権分離と、BloodHoundを用いた経路修正の重要性。
- ・Sysmon導入による詳細なテレメトリ収集の推奨。
Senior Engineer Insight
> ADのセキュリティは、脆弱性ではなく「仕様と設定」の戦いである。攻撃者はゼロデイを使わず、正規のプロトコルを悪用する。防御側は、Tiered Administrationの徹底と、認証プロトコルのモダン化(RC4廃止)を急ぐべきだ。検知においては、単一のログではなく、イベントIDの相関分析が生命線となる。