{"id":1897,"date":"2021-11-16T13:44:07","date_gmt":"2021-11-16T16:44:07","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=1897"},"modified":"2021-11-17T16:25:19","modified_gmt":"2021-11-17T19:25:19","slug":"dcshadow-o-que-e-e-como-se-defender","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/dcshadow-o-que-e-e-como-se-defender\/","title":{"rendered":"DCSHADOW: O que \u00e9 e como se defender"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Nesse artigo, cobriremos o ataque DCShadow e como podemos usar o <a href=\"https:\/\/www.aiqon.com.br\/stealthdefend\/\">StealthDEFEND<\/a> para detectar e responder a esse tipo de ataque. Come\u00e7aremos com uma revis\u00e3o do DCShadow e, em seguida, nos concentraremos em como podemos DETECTAR e RESPONDER a este ataque com StealthDEFEND.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/dcshadow-o-que-e-e-como-se-defender\/#Introducao_ao_DCShadow\" >Introdu\u00e7\u00e3o ao DCShadow<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/dcshadow-o-que-e-e-como-se-defender\/#Por_dentro_do_ataque\" >Por dentro do ataque<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/dcshadow-o-que-e-e-como-se-defender\/#Responda_a_ameaca_DCShadow_com_o_StealthDEFEND\" >Responda a amea\u00e7a DCShadow com o StealthDEFEND<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"Introducao_ao_DCShadow\"><\/span><span style=\"font-weight: 400;\">Introdu\u00e7\u00e3o ao DCShadow<\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-weight: 400;\">O DCShadow \u00e9 um ataque em cadeia de est\u00e1gio avan\u00e7ado que permite que o invasor com credenciais privilegiadas registre um controlador de dom\u00ednio \u201cinvasor\u201d para fazer altera\u00e7\u00f5es em um dom\u00ednio por replica\u00e7\u00e3o. Esses eventos replicados injetados s\u00e3o registrados, processados e feitos como uma replica\u00e7\u00e3o de dom\u00ednio leg\u00edtimo. Isso permite que o invasor fa\u00e7a altera\u00e7\u00f5es via replica\u00e7\u00e3o de uma forma dif\u00edcil de detectar.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">O \u201cDCShadow\u201d em si \u00e9 um comando com o m\u00f3dulo <a href=\"https:\/\/github.com\/gentilkiwi\/mimikatz\">Mimikatz<\/a> Isadump que foi lan\u00e7ado no come\u00e7o de 2018. Esse comando depende da utiliza\u00e7\u00e3o de comandos\u00a0 espec\u00edficos dentro do protocolo de servi\u00e7o de replica\u00e7\u00e3o remota do Microsoft Directory &#8211; <a href=\"https:\/\/docs.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-drsr\/f977faaa-673e-4f66-b9bf-48c640241d47\">MS-DRSR<\/a> e da cria\u00e7\u00e3o de registros na parti\u00e7\u00e3o de configura\u00e7\u00e3o para completar os requisitos m\u00ednimos para registrar uma m\u00e1quina como controlador de dom\u00ednio. Uma vez que a esta\u00e7\u00e3o \u00e9 registrada o invasor pode fazer altera\u00e7\u00f5es e ent\u00e3o tirar o registro do controlador de dom\u00ednio invasor para cobrir ainda mais os rastros. Ao utilizar esses protocolos e processos, um invasor tira vantagem de uma fun\u00e7\u00e3o v\u00e1lida e necess\u00e1ria da replica\u00e7\u00e3o do Active Directory, que n\u00e3o pode ser desabilitada.<\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Por_dentro_do_ataque\"><\/span><span style=\"font-weight: 400;\">Por dentro do ataque<\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-weight: 400;\">Uma vez que o invasor tenha obtido acesso privilegiado (uma conta com direitos de replica\u00e7\u00e3o de dom\u00ednio), o invasor pode utilizar os protocolos de replica\u00e7\u00e3o para imitar um controlador de dom\u00ednio.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Abaixo um resumo de como o ataque funciona:<\/span><\/p>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Um invasor obt\u00e9m direitos de administrador de dom\u00ednio e quer fazer altera\u00e7\u00f5es que n\u00e3o ser\u00e3o detectadas para criar persist\u00eancia.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Usando o DCShadow, o invasor ir\u00e1 registrar o computador que ele est\u00e1 utilizando (como uma esta\u00e7\u00e3o de trabalho) como controlador de dom\u00ednio no Active Directory realizando altera\u00e7\u00f5es no schema de configura\u00e7\u00f5es do AD e nos valores de SPN da esta\u00e7\u00e3o de trabalho. Agora o AD acha que a esta\u00e7\u00e3o de trabalho \u00e9 um controlador de dom\u00ednio e \u00e9 confi\u00e1vel replicar as altera\u00e7\u00f5es.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">As altera\u00e7\u00f5es como: (SIDHistory, AdminSDHolder, Senhas, Detalhes da conta, Membros de grupos) s\u00e3o feitas pela invasor e submetidas para replica\u00e7\u00e3o.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">A replica\u00e7\u00e3o \u00e9 engatilhada pelo DCShadow e a altera\u00e7\u00e3o \u00e9 replicada e ent\u00e3o submetida em um controlador de dom\u00ednio legitimo.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1898\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/DCSHADOW_Demo.gif\" alt=\"dcshadow stealthdefend\" width=\"1751\" height=\"845\" \/><\/p>\n<p><span style=\"font-weight: 400;\"><strong>A detec\u00e7\u00e3o do DCShadow com o StealthDEFEND:<\/strong> O StealthDEFEND tem uma amea\u00e7a DCShadow pronta para usar, que foi criada do zero para detectar um ataque DCShadow. O StealthDEFEND monitora ativamente todas as replica\u00e7\u00f5es de dom\u00ednio e altera\u00e7\u00f5es de eventos por sinais de DCShadow. O m\u00e9todo prim\u00e1rio usado para detectar DCShadow \u00e9 encontrar padr\u00f5es de comportamento que batem com o registro e o cancelamento de registro do \u201ccontrolador de dom\u00ednio invasor\u201d e ficar ciente da replica\u00e7\u00e3o de tr\u00e1fego enviada por eles.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1900\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-29.png\" alt=\"dcshadow stealthdefend\" width=\"622\" height=\"316\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-29.png 622w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-29-300x152.png 300w\" sizes=\"auto, (max-width: 622px) 100vw, 622px\" \/><\/p>\n<p><span style=\"font-weight: 400;\">Neste exemplo, n\u00f3s identificamos um novo controlador de dom\u00ednio sendo adicionado e removido do dom\u00ednio rapidamente de forma suspeita. N\u00f3s tamb\u00e9m identificamos a origem do ataque tendo um sistema operacional (Windows 10) que n\u00e3o suporta a fun\u00e7\u00e3o de controlador de dom\u00ednio.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Ao expandir a aba de eventos detalhados, n\u00f3s tamb\u00e9m vemos a presen\u00e7a de altera\u00e7\u00f5es espec\u00edficas que foram feitas como parte do ataque DCShadow.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1901\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-30.png\" alt=\"dcshadow stealthdefend\" width=\"623\" height=\"230\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-30.png 623w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-30-300x111.png 300w\" sizes=\"auto, (max-width: 623px) 100vw, 623px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Responda_a_ameaca_DCShadow_com_o_StealthDEFEND\"><\/span><span style=\"font-weight: 400;\">Responda a amea\u00e7a DCShadow com o StealthDEFEND<\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-weight: 400;\">Dado o fato que para executar um ataque DCShadow com sucesso, o invasor precisa de privil\u00e9gios elevados para fazer as altera\u00e7\u00f5es, registrar um controlador de dom\u00ednio e executar a replica\u00e7\u00e3o. J\u00e1 que o invasor j\u00e1 atingiu esse alto n\u00edvel de privil\u00e9gio, uma resposta imediata para conter poss\u00edveis danos e a infiltra\u00e7\u00e3o do invasor \u00e9 necess\u00e1ria.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">A resposta padr\u00e3o de desabilitar usu\u00e1rios pode n\u00e3o ser o suficiente, j\u00e1 que nessa hora o invasor provavelmente j\u00e1 tem um leque de recursos e op\u00e7\u00f5es dispon\u00edveis para utilizar.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">As capacidades de inje\u00e7\u00e3o de contexto automatizado do StealthDEFEND oferece a n\u00f3s a fonte, o invasor, os alvos e outras informa\u00e7\u00f5es relacionadas ao ataque DCShadow que podem ser utilizados nos passos de resposta. Na eventualidade de um ataque de DCShadow, o melhor primeiro passo \u00e9 comunicar que o ataque ocorreu e conseguir a informa\u00e7\u00e3o correta para as pessoas certas na organiza\u00e7\u00e3o. Utilizar a integra\u00e7\u00e3o com alguns produtos de terceiros como o slack, o Microsoft Teams e o ServiceNow pode facilitar esse passo.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1902\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-31.png\" alt=\"dcshadow stealthdefend\" width=\"624\" height=\"239\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-31.png 624w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-31-300x115.png 300w\" sizes=\"auto, (max-width: 624px) 100vw, 624px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\">Baixe agora o Datasheet StealthDefend e saiba mais sobre a solu\u00e7\u00e3o<a href=\"https:\/\/lps.aiqon.com.br\/stealthbits-stealthdefend-para-ad\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-1908\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/SB-Covers.png\" alt=\"StealthDefend - DCShadow\" width=\"700\" height=\"366\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/SB-Covers.png 1200w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/SB-Covers-300x157.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/SB-Covers-1024x535.png 1024w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/SB-Covers-768x401.png 768w\" sizes=\"auto, (max-width: 700px) 100vw, 700px\" \/><\/a><\/p>\n<p><span style=\"font-weight: 400;\">O <a href=\"https:\/\/www.aiqon.com.br\/stealthintercept\/\">StealthINTERCEPT<\/a> bloqueando pol\u00edticas pode ser usado para prevenir a invas\u00e3o de conta ou esta\u00e7\u00e3o de trabalho de executar replica\u00e7\u00f5es adicionais, autentica\u00e7\u00e3o e outras atividades que podem dar mais tempo de resposta para eliminar as amea\u00e7as completamente.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1903\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-32.png\" alt=\"dcshadow stealthintercept\" width=\"624\" height=\"230\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-32.png 624w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/image-32-300x111.png 300w\" sizes=\"auto, (max-width: 624px) 100vw, 624px\" \/><\/p>\n<p><strong>Conte\u00fado original:<\/strong> <a href=\"https:\/\/stealthbits.com\/blog\/what-is-a-dcshadow-attack-and-how-to-defend-against-it\/\">StealthBits<\/a><\/p>\n<hr \/>\n<p>StealthDEFEND e StealthINTERCEPT s\u00e3o solu\u00e7\u00f5es da StealthBits, uma empresa Netwrix. A AIQON \u00e9 representante exclusiva Netwrix no Brasil.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nesse artigo, cobriremos o ataque DCShadow e como podemos usar o StealthDEFEND para detectar e responder a esse tipo de ataque. Come\u00e7aremos com uma revis\u00e3o do DCShadow e, em seguida, nos concentraremos em como podemos DETECTAR e RESPONDER a este ataque com StealthDEFEND. Introdu\u00e7\u00e3o ao DCShadow O DCShadow \u00e9 um ataque em cadeia de est\u00e1gio [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1905,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[113],"tags":[185,186],"class_list":["post-1897","post","type-post","status-publish","format-standard","has-post-thumbnail","category-cybersecurity","tag-dcshadow","tag-stealthdefend","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/11\/DCSHADOW.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1897"}],"version-history":[{"count":4,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1897\/revisions"}],"predecessor-version":[{"id":1909,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1897\/revisions\/1909"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/1905"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}