Active Directory (AD) — нервная система корпоративной инфраструктуры, которая незримо управляет учётными записями, правами доступа и политиками. Пока службы каталога исправно раздают токены аутентификации, пользователи даже не подозревают, насколько хрупким может оказаться этот фасад стабильности. Стоит одной настройке уйти вразнос, и злоумышленник превращает каждую ослабленную зависимость в персональный лифт к доменным привилегиям.
При этом атаки на AD давно ушли с уровня «узкий круг пентестеров» в массовый арсенал кибер-преступников: готовые фреймворки автоматизируют сбор информации, крадут хэши, заливают фальшивые тикеты и едва ли не в реальном времени прорисовывают карту зависимостей между группами. Чтобы защищаться эффективно, системному администратору уже недостаточно «ставить патчи по вторникам» — придётся понимать внутреннюю механику Kerberos, разбираться в тонкостях делегирования и регулярно охотиться на призрачные отметки DCShadow в журнале событий.
В этом материале мы разложим по полочкам самые популярные инструменты нападающих, обсудим ключевые уязвимые зоны и соберём практический набор контрмер, пригодный как для молодой сети из десяти хостов, так и для распределённого леса, насчитывающего тысячи контроллеров.
Оружейная палитра атакующего
Индустрия offensive-Security рождает новые утилиты с такой скоростью, что каталог GitHub успевает устареть прежде, чем вы дочитаете changelog до конца. Однако у каждой громкой презентации на Black Hat можно отследить проверенные временем основы.
Mimikatz, Rubeus и родня
Французская утилита Mimikatz стала каноническим примером «легального хака». С её помощью исследователь вытаскивает пассворды в чистом виде из LSASS, генерирует «золотые» и «серебряные» тикеты, клонирует процессы ради Pass-the-Hash. Продолжение идеи — Rubeus, написанный на C#. Он специализируется на Kerberoasting, AS-REP Roasting и запросах TGT/TGS без лишних шумов в журнале.
BloodHound и SharpHound
Дуэт, превращающий ваши группы безопасности в наглядный граф. SharpHound собирает данные при помощи LDAP-запросов, затем BloodHound рисует пути повышения привилегий: от простого стажёра до Enterprise Admin всего в пару кликов. Для злоумышленника — интерактивная карта сокровищ; для защитника — способ увидеть собственные перегибы с делегированием.
Impacket и CrackMapExec
Библиотека Impacket предлагает набор скриптов secretsdump.py, wmiexec.py, ntlmrelayx.py, которые выводят эксплуатацию WinAPI на новый уровень. Надстройка CrackMapExec автоматизирует брутфорс, внедрение и релей, позволяя одной командой проверить сотни машин на общие пароли или открытые SMB-шары.
PowerView и ADRecon
Пауэршелл-модуль PowerView элегантно объединяет функции разведки и эксплойта: поиск незащищённых доверенных отношений, анализ ACL, проверка сервисных аккаунтов. ADRecon же служит швейцарским ножом аудитора, собирая конфигурацию домена, GPO и результаты скриптов в аккуратный Excel-отчёт.
Точки уязвимости: от химеры конфигураций до забытых протоколов
Любая атака на AD начинается с обнаружения слабого звена, которое превращает рядовую ошибку в цепочку эскалации. Рассмотрим, где администраторы чаще всего оставляют «неплотно закрытую дверь».
Недооценённая сила Kerberos
Kerberoasting эксплуатирует сервисные учётные записи с SPN: инструмент запрашивает TGS, затем офлайн перебирает пароль, не рискуя блокировать аккаунт. AS-REP Roasting воспроизводит сходную логику, но использует флаг DONT_REQUIRE_PREAUTH, что позволяет получить хэш сразу при первом запросе.
Слабые ACL и делегирование
Зачастую группе HelpDesk дарят права GenericAll на OU с чувствительными объектами, а потом забывают. В результате RBCD (Resource-Based Constrained Delegation) даёт злоумышленнику возможность подделать билет и действовать от имени любого юзера на целевом SPN.
Легаси-протоколы и устаревшие хэши
NetNTLMv1, LM, NTLM relay — атаки, которые живы благодаря привычке «не трогать, пока работает». Старые принтеры держат включённым SMB v1, резервные копии держат пароль svcBackup 2020!, и всё это становится плацдармом для lateral movement.
DNS-админство по наследству
Кто не мечтал стать DnsAdmins? Достаточно загрузить библиотеку в SYSVOL, указать её в параметрах сервис-аккаунта — и вот вы уже выполняете код с SYSTEM-правами на контроллере без спешки и лишних детектов.
Приёмы атаки: пошаговый маршрут к Domain Admin
Сбор сведений и картография доверий
SharpHound запускают даже из гостевого сегмента Wi-Fi, если там открыт DNS. LDAP-запросами он получает список групп, OU и SPN, после чего выстраивает граф прав: «Пользователь → Local Admin на остинге → SeImpersonatePrivilege → DCSync».
Кража учётных данных
- Dump LSASS — классика в исполнении Mimikatz (
sekurlsa::logonpasswords). - Pass-the-Hash — применение аутентификационных NTLM-хэшей без знания пароля.
- Pass-the-Ticket — инъекция Kerberos-тикетов, включая «золотой» TGT с пожизненным сроком.
Эскалация и доменное господство
Схемы DCSync и DCShadow позволяют запросить или подменить репликацию AD. Первая техника выгрызает хэши всех аккаунтов, вторая — тихо внедряет «невидимые» изменения ACL, например, добавляет злоумышленника в Enterprise Admins вне зоны логирования.
Укрепление позиций
После получения доступа злоумышленник закрепляется: создаёт задачу в Scheduled Tasks, записывает SIDHistory, модифицирует AdminSDHolder или залепляет плавающий путь к GPO-шаблону. Пока команда реагирования ищет необычные логины, вредоносный GPO незаметно разворачивает RAT на каждую рабочую станцию.
Многоуровневая защита: рекомендации, которые работают
Принцип наименьших привилегий и модель Tiering
Разделите администрирование по уровням: Tier 0 — контроллеры и PKI, Tier 1 — серверы приложений, Tier 2 — рабочие станции. Для каждой зоны выделите отдельные учётные записи, сетевые сегменты и Jump-Host.
Современные механизмы аутентификации
- Включите LDAP-signing и Channel Binding.
- Запретите NetNTLMv1 и LM хэши через
NoLMHash+ GPO. - Задействуйте «групповые управляемые сервисные аккаунты» (gMSA) вместо паролей в текстовых файлах.
Патч-менеджмент и контроль эксплойтов
Откладывать обновления DC сродни игре в русскую рулетку. Поддерживайте Cumulative Updates, следите за ежемесячными CVE Microsoft, особенно за патчами Kerberos Sign-in (пример — CVE-2024-20677, исправлявшая неправильную валидацию PAC).
Мониторинг и аналитика
Собирайте логи Security 4662 (изменения ACL), 4742 (обновление учётных записей KRBTGT) и 4720/4728 (создание пользователей, добавление в группы). Sysmon c правилом EventID 11 засечёт загрузку подозрительной DLL, а Zeek или Suricata отловят rDNS-релей на SMB.
Just-in-Time администрирование
Microsoft PAM и Azure AD Privileged Identity Management выдают права строго на время выполнения задачи. Администратор получает роль Domain Admin на 30 минут, после чего система автоматически её отзывает и пишет след в лог AAD.
Разумная сегментация сетевого трафика
Изолируйте SMB v1 и RPC на уровнях межсетевого экрана, используйте DNS-policies для ограничений zone transfer, включите LAPS для локальных админ-паролей. Даже если злоумышленник захватит одну машину, ему придётся пересекать границы VLAN, что повышает шанс детекта.
Инцидент-респонс: когда звонок уже поступил
Ключ к быстрому подавлению атаки — фантазия, отрепетированная на раскатке «table-top» и практической сессии Purple Team.
- Детекция. Тригер «неожиданный Kerberos 65535» сигнализирует о фальшивом TGT; массовый поток
4768— показатель Roasting. - Сдерживание. Изолируйте контроллер с подозрительными токенами, переведите KRBTGT в ротацию дважды.
- Устранение. Проверьте SIDHistory, AdminSDHolder, GPO-загрузчики; замените угрозу на чистую политику, задокументируйте каждое изменение.
- Восстановление. Примените резервную копию System State, пересоздайте доверия между филиалами, переиздайте смарт-карты.
Заключение
Active Directory давно перестал быть «просто службой», став опорой цифровой идентичности организации. Пока корпоративная жизнь обрастает облачными сервисами, гибридными лесами и нулевым доверием, красная команда продолжает искать классические лазейки: старые хэши, щедрые ACL, забытые сервис-аккаунты.
Искоренить уязвимости до последней строчки реестра невозможно, зато реально уменьшить радиус взрыва: разнести критические роли по уровням, выключить лишние протоколы, пересмотреть парольные политики и отдать мониторинг «на корм» автоматики.
Главное помнить простую мысль: у атакующего достаточно одной успешной цепочки, у защитника — нескончаемый список задач. Чем раньше сеть научится говорить с администратором через логи, алерты и отчёты BloodHound, тем меньше шансов, что Mimikatz превратит тихий вечер пятницы в бесконечный форензик-марафон.
