Active Directory is een nieuw, rijk doelwit voor creatieve cybercriminelen geworden. De permissies en onopvallendheid van legitieme gebruikers op het interne netwerk geven aanvallers vrij spel. Betere bewaking is nodig om te zorgen dat de kluis met alle sleutels uit handen blijft van kwaadwillenden.
Cybercriminelen die toegang krijgen tot de Active Directory hebben in wezen toegang tot de hele it-omgeving van een organisatie. Voordeel boven domweg hacken is dat AD de kluis met alle sleutels is voor legitieme gebruikers, inclusief beheerders. De indringer die in de Active Directory zit, kan simpelweg een andere sleutel uit de ‘geleende’ sleutelbos kiezen en gebruikt bijvoorbeeld de sleutel van een gebruiker die wel door die deur mag.
Helaas is dit scenario niet slechts een spookverhaal. Bij een multinational met het hoofdkwartier in Londen is exact zo’n scenario toegepast. Deze sluwe aanval kwam uiteindelijk aan het licht, maar pas nadat de inbrekers al langere tijd actief waren. Via een geleidelijk uitgevoerde operatie kwamen de aanvallers namelijk terecht bij de Active Directory-schatkist. De directory-server is in-memory gepatcht, waardoor de cyberinbrekers een universele loper kregen voor alle accounts in de organisatie. Daarna viel hun insluipen niet langer op aangezien het om handelingen van legitieme gebruikers en beheerders leek te gaan. De gebruikte AD-malware is door de ontdekkers Skeleton Key genoemd, omdat de daders hiermee een universele loper in handen kregen.
Deze verregaande inbraak werd pas ontdekt nadat een it-beheerder toevallig een afwijkend event bespeurde en hierop de beveiligingstak van Dell om hulp vroeg. Vervolgens heeft de Counter Threat Unit (CTU) van Dell’s SecureWorks de kwestie uitgeplozen en getraceerd naar Active Directory.
Lees het hel verhaal online of in ICT/Magazine van januari/februari .
