T1484: МОДИФІКАЦІЯ ПОЛІТИКИ ДОМЕНУ АБО ТЕНЕНТА
Зловмисники змінюють конфігураційні налаштування контролера домену (Active Directory) або хмарного тенента (Azure AD/Microsoft 365). Замість того, щоб атакувати кожен комп'ютер окремо, хакер змінює глобальні політики (GPO) або довірчі відносини. Це дозволяє автоматично розповсюдити шкідливе ПЗ на всі пристрої мережі, створити підконтрольні «фейкові» сервери доступу або змусити систему довіряти зовнішнім серверам зловмисника.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть змінювати налаштування конфігурації домену або тенента ідентифікації для ухилення від захисту та/або підвищення привілеїв у централізовано керованих середовищах. Такі сервіси забезпечують централізований засіб керування ресурсами ідентифікації (пристроями та акаунтами) і часто включають налаштування конфігурації, які можуть застосовуватися між доменами або тенентами, такі як довірчі відносини, синхронізація ідентифікаційних даних або федерація ідентифікації.
Модифікації налаштувань домену або тенента можуть включати зміну об’єктів групової політики (GPO) у Microsoft Active Directory або зміну налаштувань довіри для доменів, включаючи відносини федеративної довіри між доменами чи тенентами.
Маючи достатні дозволи, зловмисники можуть змінювати налаштування політики домену або тенента. Оскільки налаштування конфігурації для цих служб застосовуються до великої кількості ресурсів ідентифікації, існує величезна кількість потенційних атак зі шкідливими наслідками, які можуть виникнути внаслідок цього зловживання. Приклади включають:
- Модифікацію GPO для розповсюдження шкідливого запланованого завдання на комп’ютери в усьому доменному середовищі.
- Модифікацію доменних довіреностей для включення домену, контрольованого зловмисником, що дозволяє хакерам підробляти токени доступу, які згодом будуть прийняті ресурсами домену жертви.
- Зміну налаштувань конфігурації в середовищі AD для впровадження Rogue Domain Controller (підставного контролера домену).
- Додавання нових федеративних провайдерів ідентифікації, контрольованих зловмисником, до тенентів ідентифікації, що дозволяє зловмисникам проходити автентифікацію як будь-який користувач, керований тенентом жертви.
- Зловмисники можуть тимчасово змінити політику домену або тенента, виконати шкідливі дії, а потім повернути зміни, щоб видалити підозрілі індикатори.
Чому це техніка стратегічного рівня?
- Масштаб: Одна зміна в GPO може вимкнути антивіруси на 10,000 комп’ютерах за лічені хвилини.
- Золотий квиток довіри (Golden SAML): Модифікуючи федеративні відносини в хмарі, зловмисник може випускати власні цифрові «перепустки», які дозволяють вхід у будь-яку поштову скриньку організації без пароля.
- Прихованість: Адміністратори часто вносять зміни в політики. Зловмисник може замаскувати своє шкідливе GPO під назвою IE_Update_Policy або Printer_Fix_2026.
Як виявити?
- Аудит GPO: Моніторинг подій Windows Event ID 5136 (Зміна об’єкта Active Directory) та 5137 (Створення об’єкта). Слідкуйте за змінами в контейнері CN=Policies,CN=System…
- Перевірка довіри (Trusts): Регулярно перевіряйте список довірених доменів і федеративних провайдерів (Get-MsolFederationProperty для Azure/O365).
- Логування змін: Використовуйте інструменти класу SIEM для виявлення аномальних змін у налаштуваннях домену, особливо якщо їх вносить акаунт, який раніше цього не робив.