劫持者可以绕过 Active Directory 控制机制

“DCShadow”攻击让攻击者可以添加自己的控制器，因而搞一些破坏。

两名安全研究人员近日演示了针对Active Directory发动的攻击，这种攻击让他们可以将自己的域控制器添加到现有的企业级安装环境中。

来自法国的这两名研究人员是开发密码提取神器Mimikatz的本杰明•德尔派（Benjamin Delpy）和文森特•勒图（Vincent Le Toux），上周他们俩在以色列召开的微软蓝帽（Blue Hat）大会上展示了这种名为DCShadow的攻击。

DCShadow让攻击得以在Active Directory环境下创建一个恶意的域控制器，并用它来推送恶意对象。

结果怎样？勒图在Twitter上发布了总结：

推文翻译如下：

有些读者想知道其中的奥妙，有必要解释一下，DCShadow使用DrsReplicaAdd（DRSR 4.1.19.2）来触发复制。它改动DC的repITo属性，触发立即复制。

ReplicaSyc并不触发复制，原因是repITo未被设置。

专门研究Active Directory的安全研究人员卢•德尔萨勒（Lu Delsalle）的演示文稿：

德尔萨勒解释道：“恶意的域控制器不是什么新的想法，在之前的安全出版物中已被多次提及，不过需要侵入性的技术（比如安装装有Windows Server的虚拟机），还需要登录常规的域控制器（DC），将虚拟机提升为目标域的DC。”

这很容易被发现，于是德尔萨勒写道，德尔派和勒图描述的这种攻击必须“改动目标AD基础设施数据库，授权恶意服务器是复制过程的一部分。”

他继续写道：“‘DCShadow’攻击实施的主要行动是，在数据库模式（schema）的Configuration（配置）分区中创建一个新的服务器和nTDSDSA对象。”按照微软的描述，nTDSDSA是负责处理目录复制服务协议的复制代理。

不过，这种变化发生在特权环境下，所以攻击需要设法绕过创建服务器和启动复制方面的控制机制。德尔萨勒解释道，德尔派和勒图能够“隔离复制过程完成所需要的最小集SPN（服务主体名称）。他们的研究结果表明，需要两个SPN让另一个DC可以连接到恶意服务器”――这些是DRS服务类别（它有众所周知的GUID E3514235-4B06-11D1-AB04-00C04FC2DCD2）以及Global Catalog服务类别（它有字符串“GC”）。

之后，攻击者成功注册进入到复制环境的域控制器，并由另一个域控制器对它进行身份验证。

最后一步是强制完成复制步骤，使用IDL_DRSReplicaAdd RPC，让攻击者得以将后门植入到域，比如只需要“为管理组添加新成员，或者为受控制用户帐户设置SID历史记录。”

勒图在Twitter中特别指出：是可以挫败这种攻击的。

推文翻译如下：

解决方法如下：

－在推送后移除ntdsa对象――检测到存在该对象是不可靠的。

－复制不是由KCC来触发，而是通过改动repITo来触发。

－DC SPN由AddEntry来设置（4.1.1.2.3 CreateNtdsDsa）。