tos-akibaのブログ

主に Microsoft 365 Security について

MDI:疑わしい証明書使用の検出

Microsoft Defender for Identity(MDI)は、旧称 Azure Advanced Threat Protection(Azure ATP)で、オンプレミスの AD DS サーバーに MDI センサーをインストールすることにより、Active Directory に対する脅威を検出する Defender シリーズのセキュリティソリューションです。
この MDI が、オンプレミスの Active Directory 証明書サービス(AD CS)を悪用し、Kerberos プロトコルでの疑わしい証明書の使用も検知するようになりました。
Microsoft Defender for Identity now detects suspicious certificate usage - Microsoft Community Hub

 

サイバー犯罪者の攻撃手法の1つとして、AD CS の証明書サービスをターゲットとして、Active Directory 周辺の保護をバイパスし、ドメインにアクセスすることも増えているようです。
AD CS は、プライベートな証明書を発行する認証局として社外からアクセスできないようオンプレミスに配置されますが、ドメインコントローラーや ADFS サーバーと同様に重要なレベル0資産と位置付けて、セキュリティ対策されるべきとされています。

 

上記のブログでは、MDI による具体的な検出例が記載されています。
まず、偵察行動として、特に機密性の高いグループを列挙して侵害ターゲットを探すためにオープンソースの攻撃ツールである Certify の使用が確認され、特権昇格を実行するための誤って構成された証明書テンプレートを探していると考えられ、
また、偵察直後に攻撃者が認証局サーバーから証明書を発行し、それを使用しようと Rubeus攻撃ツールが利用された痕跡などから侵害されたユーザーで特権昇格が行われたと推測されます。
MDI センサーがインストールされたドメインコントローらーでは、疑わしい証明書認証が発生すると、Microsoft 365 Defender ポータルにアラートが表示されます。

 

このような侵害は EDR でも検出されますが、MDI センサーを入れたドメインコントローラーでは、EDR が入っていない管理外の端末からの疑わしいアクティビティも検出するものになります。