DCSync: Replicazione Forzata del Domain Controller (T1003.006)

L'implementazione pratica richiede privilegi elevati sul dominio. Il tool principale rimane Mimikatz con il modulo lsadump, che integra sia la funzionalità DCSync che NetSync per protocolli legacy.

mimikatz # lsadump::dcsync /domain:corp.local /user:Administrator

Questo comando base estrae l'hash NTLM dell'utente Administrator. Per un'estrazione completa del database, l'approccio sistematico prevede l'enumerazione degli account critici.

La preparazione dell'ambiente di test richiede un account con almeno uno dei seguenti privilegi: membership nei gruppi Domain Admins, Enterprise Admins o account computer sul domain controller stesso. In laboratorio, è possibile simulare l'attacco creando un utente test con privilegi di replicazione:

Add-ADGroupMember -Identity "Domain Admins" -Members "testuser"

L'estrazione dell'hash di KRBTGT rappresenta il jackpot per un attaccante, permettendo la creazione di Golden Ticket:

mimikatz # lsadump::dcsync /domain:corp.local /user:krbtgt

La versatilità della tecnica si estende oltre Mimikatz. Tool alternativi come Impacket offrono implementazioni Python cross-platform:

secretsdump.py -just-dc-user krbtgt corp.local/admin:password@DC01

Per ambienti con protocolli legacy, NetSync offre un approccio alternativo attraverso il protocollo di replicazione precedente, utile quando le API moderne sono monitorate o bloccate.

Il rilevamento efficace si basa sul monitoraggio degli eventi di replicazione anomali. L'evento chiave è il 4662 nel Security log di Windows, che registra operazioni sul servizio di directory.

La detection rule DET0594 identifica invocazioni non autorizzate delle API DRSUAPI da endpoint non-DC. La configurazione ottimale prevede la correlazione di eventi multipli entro una finestra temporale definita.

I parametri di tuning critici includono [SourceIP] per escludere DC legittimi, [UserContext] per account autorizzati alla replicazione e [TimeWindow] per la correlazione temporale. Un approccio efficace combina il monitoraggio di Security log e traffico di rete NSM.

La baseline del comportamento normale richiede la mappatura di tutte le operazioni di replicazione legittime nell'ambiente. I domain controller si replicano secondo schedule predefiniti, tipicamente ogni 15 minuti per collegamenti intra-site.

Gli indicatori comportamentali includono replicazioni da workstation o server non-DC, richieste di replicazione per singoli account ad alto valore, e pattern temporali anomali fuori dagli orari di manutenzione pianificata.

La riduzione dei falsi positivi richiede l'esclusione accurata dei DC legittimi e degli account di servizio autorizzati. Tool di amministrazione come RSAT possono generare eventi simili durante operazioni legittime di troubleshooting.

L'analisi forense di un attacco DCSync richiede la ricostruzione accurata della sequenza di eventi attraverso molteplici sorgenti di log. Gli artefatti primari risiedono nel Security event log del domain controller vittima.

L'evento 4662 documenta l'accesso agli oggetti di Active Directory con privilegi di replicazione. La correlazione con eventi 4624 (logon riuscito) permette di identificare la sessione di origine dell'attacco.

Nella campagna Operation Wocao, gli attaccanti hanno utilizzato comandi specifici di Mimikatz lasciando tracce nella command line. L'analisi di Process Creation events (EventID 4688) con auditing completo può rivelare l'esecuzione di mimikatz.exe o comandi PowerShell sospetti.

SolarWinds Compromise ha mostrato pattern più sofisticati, con APT29 che utilizzava account privilegiati compromessi per mascherare l'attività di replicazione come legittima. La timeline reconstruction richiede l'analisi dei logon events precedenti per identificare il punto di compromissione iniziale.

Gli artefatti di rete includono traffico RPC verso la porta 135 seguito da comunicazioni sulla porta dinamica assegnata per DRSUAPI. La cattura del traffico può rivelare i Distinguished Names degli oggetti richiesti.

La persistenza dell'evidenza dipende dalla retention policy dei log. I Security event log dei DC sono critici e dovrebbero avere retention estesa. L'analisi della timeline deve considerare anche eventi di clearing dei log (EventID 1102) che potrebbero indicare tentativi di anti-forensics.

Mustang Panda (G0129) rappresenta un attore sponsorizzato dallo stato cinese con focus su spionaggio politico ed economico. L'integrazione di DCSync nel loro toolkit indica maturità operativa e obiettivi di persistenza a lungo termine in reti compromesse.

LAPSUS$ (G1004) dimostra come gruppi criminali abbiano adottato tecniche tradizionalmente associate ad APT state-sponsored. Il loro utilizzo di DCSync per privilege escalation suggerisce operazioni mirate a massimizzare l'impatto in tempi ridotti.

Earth Lusca (G1006) combina motivazioni finanziarie e di spionaggio, utilizzando DCSync come parte di catene di attacco multi-stadio. La documentazione di comandi specifici indica possibile condivisione di playbook o tool comuni nell'ecosistema criminale.

Storm-0501 (G1053) rappresenta l'evoluzione delle tattiche ransomware, dove l'estrazione massiva di credenziali tramite DCSync facilita la propagazione laterale pre-encryption. Questo pattern suggerisce future integrazioni con tecniche di living-off-the-land.

L'overlap negli strumenti, principalmente Mimikatz (S0002), crea opportunità di detection basate su varianti comuni. Tuttavia, l'emergere di implementazioni custom e l'uso di tool alternativi richiede approcci di detection behavior-based piuttosto che signature-based.

Framework MITRE ATT&CK T1003.006. Campagne documentate: Operation Wocao (2017-2019), SolarWinds Compromise (2019-2021), C0027 (2022). Detection guidance basata su DET0594 per monitoraggio DRSUAPI anomalo. Riferimenti tooling: Mimikatz lsadump module, Impacket secretsdump.