概要：Active Directory侵害とNTDS.dit窃取

最近、脅威アクターが企業環境に侵入し、Active Directory（AD）のデータベースファイルであるNTDS.ditを窃取し、ドメインの完全な制御をほぼ手中に収める事態が発生しました。ADはWindowsドメインの基盤として機能し、アカウントデータ、グループポリシー、パスワードハッシュなどを保存しています。その中核ファイルを侵害されることは、攻撃者に「王国の鍵」を渡すに等しい行為です。

攻撃の全容：キルチェーンの分析

初期侵入と特権昇格

この侵害は、攻撃者がフィッシングメールを通じてワークステーションにリモートアクセスツールを送り込み、管理者権限を獲得したことから始まりました。

横展開と認証情報の窃取

そこから、攻撃者は横方向に移動し、Mimikatzを使用してLSASSプロセスメモリからパスワードハッシュを窃取しました。Pass-the-Hash技術を駆使してサーバーに認証し、最終的にドメインコントローラーに到達しました。

NTDS.ditの抽出とオフライン解析

ドメインコントローラーに到達した後、攻撃者はロックされたADデータベースに直面しました。このロックを回避するため、彼らはVolume Shadow Copy Service (VSS) を利用してシステムボリュームの隠しスナップショットを作成しました。これにより、NTDS.ditファイルと復号キーを含むSYSTEMレジストリハイブを密かに抽出することが可能になりました。これらの2つのファイルを手に入れた攻撃者は、オフラインでADデータベース全体を復号し、処理することができました。

痕跡を残さないための手法

攻撃者は、目立つカスタムツールに頼るのではなく、vssadminやPowerShellユーティリティといったWindowsの組み込みコマンドを使用してロックされたファイルをコピーしました。彼らはesentutlでシャドウコピーを修復した後、SecretsDumpで認証情報をダンプしました。最終的に、NTDS.ditとSYSTEMハイブをアーカイブに圧縮し、通常のトラフィックに紛れ込ませるために標準のSMB接続を使用して攻撃者制御サーバーに移動させました。

Trellix NDRによる検知と対応

Trellix Network Detection and Response (NDR) は、行動パターンとプロトコル異常を分析することで、この侵害の主要な段階を特定しました。Trellix NDRは以下の点を警告しました。

• 不審なSMBトラフィック: 外部IPへの大量ファイル転送と、サービスプロトコルが通常のパターンから逸脱していることを検知しました。
• シャドウコピーの作成: 非管理者アカウントによるvssadminの異常な使用は、データベース持ち出しの可能性を示す行動検知としてトリガーされました。
• アーカイブの持ち出し: システムボリュームスナップショットに対するSMB読み取り操作の急増は、高精度の持ち出しシグネチャとしてマークされました。

インシデント全体を通じて、Trellix NDRのAI駆動エンジンはこれらのアラートを一貫したキルチェーンとして関連付け、アナリストを初期侵害からデータ窃取まで導きました。この文脈的な視点により、対応時間が短縮され、攻撃者がさらに深く侵入する前に侵害を封じ込めるのに役立ちました。

この侵害から学ぶべき重要な教訓

この侵害は、以下の3つの重要な教訓を浮き彫りにしています。

• ネイティブツールの使用状況を監視する: 組み込みコマンドであっても、VSSやレジストリエクスポートの異常な操作には警戒し、アラートを設定するべきです。
• プロトコル動作をプロファイリングする: SMBおよびRPCトラフィックのベースラインを確立し、巧妙なデータ持ち出しの試みを検知できるようにします。
• アラートをキルチェーンとして関連付ける: 個々のアノマリーを統合された攻撃シナリオとしてグループ化することで、迅速な対応を導くことができます。

結論

現代のNDRプラットフォームは、Active Directoryデータベースのステルスな窃取を複数ポイントで検知することで、IDベースの攻撃に対抗する上で重要な役割を果たします。セキュリティチームは、完全なドメイン侵害が発生する前にNTDS.dit抽出の目に見えない兆候を捉えるために、監視体制を調整すべきです。

---

元記事: https://gbhackers.com/active-directory-ntds-dit-breach/