DCSync攻撃とその阻止方法
Risk Factors
Likelihood
Complexity
Business Impact
DCSync攻撃とは?DCSync攻撃は、Microsoft Directory Replication Service Remote Protocol(MS-DRSR)のコマンドを使用してドメイン・コントローラ(DC)を装い、他のDCからユーザの資格情報を取得します。この攻撃ではActive Directoryに必要な機能が悪用されることから、その阻止が複雑な作業になります。大規模なネットワークでは多数のDCが機能する必要があり、これらの各DCには最新の情報が必要です。このため、資格情報の更新などの変更があったときに、該当のDCから別のDCが持つ情報を更新する機能が必要です。攻撃者はDCを装い、DSGetNCChanges機能を使用してパスワード・ハッシュを要求することにより、この必須の機能を悪用します。多く見られる攻撃として、この方法を使用してKRBTGTハッシュを入手し、Kerberosの「ゴールデン・チケット」の入手にたどり着くものがあります。DCSyncには、ドメインのレプリケーション権限を持つ侵害済みユーザ・アカウントが必要です。このアカウントを入手した攻撃者は、DCを探し出し、以降の応答からパスワードのハッシュをレプリケートすることをそのDCに指示して、そのハッシュを入手できます。DCSyncはMimikatzツールに用意されている機能です。
DCSync攻撃からの保護 防御手段として、Windowsのイベント・ログでイベントID 4662を監視する方法があります。ログはセキュリティ対策の重要な要素ですが、ログを使用してIT環境全体を監視することは容易ではありません。ネットワーク上を流れるトラフィックの監視は、DCSync攻撃を検知するうえで効果的な方法です。ネットワークでの検知と対応には、攻撃者によってログ機能が無効化されていてもDCSync攻撃を検知できる利点もあります。攻撃者はMimikatzなどの攻撃ツールセットや「Invoke-Phant0m」を使用して、イベント・ログのクリアやログを収集するスレッドの停止ができます。したがって、追加の防御手段が必要になります。DCSync攻撃の実行を困難にするには、細心の注意を払ってADで以下の権限を管理します。* ディレクトリの変更のレプリケート * ディレクトリの変更をすべてにレプリケート * フィルタ処理されたセットでのディレクトリの変更のレプリケート 復号を使用することにより、この攻撃を検知する能力を強化できます。この攻撃は、Kerberosなどの各種Microsoftプロトコルを利用しています。このようなプロトコルの復号により、異常な動作やKerberosの偽造チケットを早い段階で検知できます。このことから、Kerberos、MS-RPC、SMBv3など、広く使用されているすべての暗号化Microsoftプロトコルで機能する暗号機能をセキュリティ・ツールが備えていることが重要です。
DCSyncの歴史
これまで、DC上でMimikatzを実行しようとする攻撃者は、まずそのDCへの管理者アクセス権を入手する必要がありました。DCSyncの登場によってこの手順が不要になり、Active Directoryのセキュリティ維持はより困難になっています。DCSyncは、2015年にBenjamin DelpyとVincent Le Touxによって作成され、Mimikatzツールの機能として追加されました。この攻撃は、CVE-2020-1472 Zerologonなどの脆弱性を突いた後の手順であることが普通で、以降の攻撃の前提条件となる権限を攻撃者に提供します。
ドメイン・コントローラ
DCは広範な読み取り権限と書き込み権限を持つため、不正なアクターにとって格好の標的となっています。このことから、DCの保護がきわめて重要になります。セキュリティ・チームは、DCの侵害につながる可能性があるPrintNightmareなどの脆弱性に特段の注意を払う必要があります。