Dumping del Database Active Directory: NTDS (T1003.003)

La creazione di una shadow copy rappresenta l'approccio più comune per accedere al database NTDS senza interrompere i servizi. Su un domain controller Windows, puoi eseguire:

vssadmin create shadow /for=C:

Una volta creata la shadow copy, il file NTDS.dit diventa accessibile per la copia. Puoi utilizzare ntdsutil.exe, tool nativo di Windows, per creare un backup del database:

ntdsutil "ac i ntds" "ifm" "create full c:\temp" q q

Questo comando genera una copia completa del database Active Directory nella directory specificata. L'approccio è legittimo dal punto di vista del sistema operativo, rendendo difficile la distinzione tra operazioni amministrative e attività malevole.

Per l'estrazione remota degli hash, Impacket offre il modulo secretsdump.py che supporta diverse modalità operative. La sintassi base per l'estrazione remota è:

secretsdump.py DOMAIN/USER:PASSWORD@TARGET

In alternativa, se hai accesso fisico ai file NTDS.dit e SYSTEM, puoi estrarre gli hash offline:

secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL

CrackMapExec integra funzionalità simili con un'interfaccia più user-friendly. Per dumping tramite DRSUAPI:

crackmapexec smb TARGET -u USER -p PASSWORD --ntds

L'utilizzo di Volume Shadow Copy Service rimane comunque l'approccio più furtivo. Koadic automatizza questo processo attraverso i suoi moduli dedicati, mentre strumenti come Invoke-NinjaCopy permettono la copia diretta di file locked dal sistema operativo.

Per ambienti Linux che devono interagire con domain controller Windows, esentutl può essere utilizzato per manipolare database ESE come NTDS.dit. La sintassi per il recupero è:

esentutl /y /vss ntds.dit /d ntds_copy.dit

La chiave del successo sta nel minimizzare l'interazione diretta con il domain controller. Molti penetration tester preferiscono copiare i file necessari e processarli offline per ridurre il rischio di detection.

La detection efficace richiede il monitoraggio di molteplici indicatori comportamentali piuttosto che singoli eventi. Il Security Event Log di Windows registra l'accesso ai file sensibili con EventCode 4663, ma questo genera notevole rumore in ambienti enterprise.

Concentrati sulla correlazione temporale tra la creazione di shadow copy e l'accesso al percorso NTDS. Monitora il VSS log (Microsoft-Windows-VSS) per eventi di creazione shadow copy, correlando con accessi al percorso %SystemRoot%\NTDS entro una finestra temporale di 5 minuti.

Sysmon offre visibilità granulare sui processi che accedono a NTDS.dit. Configura regole per Event ID 11 (FileCreate) e Event ID 10 (ProcessAccess) focalizzandoti su:

• Processi che accedono a ntds.dit direttamente
• Esecuzione di ntdsutil.exe con parametri sospetti
• Utilizzo di vssadmin.exe seguito da operazioni sui file NTDS

L'aspetto critico è distinguere le operazioni di backup legittime da quelle malevole. Implementa una whitelist dei processi di backup autorizzati basata su parent process e account di servizio. Qualsiasi deviazione da questo pattern dovrebbe generare un alert ad alta priorità.

Per ridurre i falsi positivi, correla gli eventi con il contesto utente. Account di servizio per backup dovrebbero operare in orari schedulati e da host specifici. Accessi da account interattivi o in orari anomali richiedono investigazione immediata.

La detection basata su network traffic può identificare trasferimenti di file NTDS di grandi dimensioni. File NTDS.dit tipicamente superano i 100MB anche in domini piccoli - monitora trasferimenti anomali dai domain controller verso workstation o server non autorizzati.

Implementa anche il monitoraggio delle API DRSUAPI (Directory Replication Service) utilizzate da tool come secretsdump. Query di replicazione da host non domain controller rappresentano un forte indicatore di compromissione.

La ricostruzione forense inizia dall'analisi dei VSS metadata per identificare quando sono state create shadow copy sospette. Il registro System.evtx contiene eventi del servizio VSS che documentano la creazione e cancellazione di snapshot.

Esamina il file system per tracce di NTDS.dit copiato in location alternative. Common staging directory includono:

• C:\Temp
• C:\ProgramData
• C:\Users\Public

Il registro MFT (Master File Table) preserva timestamp di creazione/modifica anche dopo la cancellazione del file. Tool come MFTECmd permettono di identificare quando NTDS.dit è stato accesso o copiato.

L'analisi della Prefetch rivela l'esecuzione di tool correlati. File .pf per ntdsutil.exe, vssadmin.exe o tool custom forniscono timestamp precisi e path di esecuzione. La presenza di prefetch per secretsdump.exe o mimikatz.exe conferma l'intent malevolo.

USN Journal mantiene un record dettagliato delle modifiche al file system. Query specifiche per il path NTDS possono rivelare:

• Creazione di copie temporanee
• Accessi in lettura al file originale
• Cancellazione di artifact post-esfiltrazione

L'analisi di Windows Event Log richiede correlazione tra multiple fonti. Security log documenta gli accessi (4663), System log registra VSS operations, e Application log può contenere errori di tool che hanno tentato l'accesso.

Per casi come Operation MidnightEclipse, l'analisi ha rivelato pattern specifici: mount di VHD backup seguito da estrazione selettiva di NTDS.dit. Questo approccio lascia tracce nel registro di Virtual Disk Service distinguibili dalle normali operazioni di backup.

La timeline reconstruction dovrebbe includere anche l'analisi di lateral movement post-compromise. Spesso il dumping di NTDS precede movimenti massivi attraverso la rete utilizzando le credenziali estratte.

APT28 dimostra sofisticazione nell'uso di living-off-the-land techniques, utilizzando esclusivamente ntdsutil.exe per minimizzare l'impronta digitale. Durante la campagna Nearest Neighbor, il gruppo ha combinato vssadmin per shadow copy con tecniche di pivoting attraverso reti Wi-Fi compromesse.

Wizard Spider rappresenta l'evoluzione ransomware-focused, automatizzando l'estrazione NTDS attraverso batch script che orchestrano shadow copy creation e retrieval. La loro metodologia include sempre backup redundanti del database per garantire successo anche in caso di interruzione.

Chimera si distingue per l'uso di tool specializzati come NtdsAudit, processando NTDS.dit con comandi specifici come msadcs.exe "NTDS.dit" -s "SYSTEM" -p RecordedTV_pdmp.txt. Questo indica focus su estrazione selettiva piuttosto che dump completo.

I pattern geografici mostrano preferenze regionali: gruppi cinesi come Mustang Panda e Volt Typhoon favoriscono approcci che creano installation media contenenti gli hash, mentre attori iraniani come Fox Kitten si affidano pesantemente a Volume Shadow Copy.

FIN13 e FIN6 rappresentano la prospettiva financially-motivated, con FIN6 che utilizza moduli Metasploit PsExec NTDSGRAB e FIN13 che combina harvesting con decryption locale tramite Impacket. La velocità di esecuzione è prioritaria per questi gruppi.

L'overlap nei toolset è significativo: Impacket secretsdump appare attraverso multiple attribuzioni, suggerendo che la commodity tooling sta sostituendo sviluppo custom. Tuttavia, gruppi come LAPSUS$ mantengono preferenza per tool nativi Windows per blend-in.

Le campagne recenti mostrano evoluzione tattica: Cutting Edge ha estratto NTDS da virtual hard disk backup montati, aggirando protezioni sui file live. Questo trend verso targeting di backup infrastructure probabilmente continuerà.

Analisi basata su MITRE ATT&CK framework, tecniche documentate in campagne Cutting Edge, Operation MidnightEclipse e APT28 Nearest Neighbor. Detection patterns validati tramite telemetria real-world di incident response engagements.