Pular para o conteúdo principal

Exfiltração do arquivo ntds.dit - Active directory

 Exfiltração do arquivo ntds.dit 

A exfiltração do arquivo ntds.dit é um incidente de segurança grave em ambientes que utilizam o Active Directory (AD). Essencialmente, é o roubo ou a cópia não autorizada do banco de dados do Active Directory, o arquivo NTDS.DIT.

O que é o arquivo ntds.dit?

O ntds.dit é o banco de dados principal de um controlador de domínio do Windows. Ele armazena uma vasta gama de informações críticas para a operação da rede, incluindo:

  • Contas de usuário e senhas: Embora as senhas sejam armazenadas como hashes (valores criptografados), um atacante com o arquivo ntds.dit pode usar técnicas como "pass the hash" ou "força bruta" para decifrá-las.

  • Contas de serviço: Informações sobre contas usadas por serviços e aplicações.

  • Informações de grupos e usuários: Detalhes de todos os grupos e usuários da rede.

  • Relações de confiança: Relações entre diferentes domínios.

Como a exfiltração ocorre?

A exfiltração do ntds.dit exige que um atacante tenha acesso de administrador a um controlador de domínio, o que geralmente acontece depois que ele já comprometeu uma conta de usuário com privilégios elevados. O processo de exfiltração pode envolver as seguintes etapas:

  1. Acesso e escalonamento de privilégios: O atacante invade uma máquina e, a partir dela, eleva seus privilégios para obter acesso administrativo.

  2. Criação de um instantâneo (snapshot): Como o ntds.dit está sempre em uso pelo sistema operacional, o atacante não pode simplesmente copiá-lo. Em vez disso, ele usa ferramentas legítimas do Windows, como o vssadmin ou ntdsutil, para criar um instantâneo (uma cópia "congelada") do volume onde o arquivo está armazenado. Isso permite que ele manipule uma cópia do arquivo sem interromper as operações da rede.

  3. Cópia e roubo do arquivo: Uma vez que o instantâneo é criado, o atacante copia o arquivo ntds.dit e o move para um servidor externo sob seu controle, o que é a etapa de "exfiltração".

Por que a exfiltração do ntds.dit é tão perigosa?

O incidente é considerado de alta gravidade porque dá ao atacante as "chaves do reino". Com o ntds.dit em mãos, ele pode:

  • Obter senhas e credenciais: Decifrar os hashes de senhas para obter credenciais de administradores e outros usuários, o que permite o acesso a praticamente qualquer recurso na rede.

  • Movimento lateral: Usar as credenciais roubadas para se mover livremente por toda a rede, infectando outras máquinas e servidores.

  • Ataques de Golden Ticket: Gerar "golden tickets" falsos que garantem acesso ilimitado a todos os serviços e dados do domínio.

  • Persistência: Criar contas de usuário ocultas e com altos privilégios, o que permite que ele mantenha o acesso à rede mesmo se as credenciais iniciais forem descobertas e redefinidas.

Em resumo, a exfiltração do ntds.dit é um evento devastador que pode levar ao controle total da rede por um atacante. A melhor forma de prevenir esse tipo de ataque é manter um monitoramento constante da rede, aplicar o princípio do menor privilégio e garantir que apenas contas críticas tenham acesso administrativo aos controladores de domínio.

Veja mais em:

https://www.hackthebox.com/blog/ntds-dumping-attack-detection

https://cybersecuritynews.com/exfiltrate-windows-secrets-and-credentials/

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »