Introduzione della nuova copertura della piattaforma Vectra AI per Copilot e Microsoft Azure

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecnica di attacco

Interrogazione LDAP

LDAP è un protocollo ampiamente utilizzato per la gestione di utenti, dispositivi e servizi in un ambiente aziendale. È una parte importante della gestione delle identità e degli accessi, ma può anche essere una via d'accesso per gli aggressori per condurre ricognizioni, aumentare i privilegi ed esfiltrare i dati.

Definizione
Come funziona
Perché gli aggressori lo usano
Rilevamento
DOMANDE FREQUENTI
Definizione

Che cos'è una query LDAP?

La query LDAP (Lightweight Directory Access Protocol) è un comando che richiede informazioni a un servizio di directory. Consente alle applicazioni di accedere e mantenere rapidamente i dati su servizi come Active Directory ed è comunemente utilizzato dalle organizzazioni per gestire gli account utente, i dispositivi e il controllo degli accessi. È anche una tecnica utilizzata dagli aggressori per recuperare le credenziali degli utenti e altri dati sensibili.

Come funziona

Come funzionano gli attacchi di iniezione LDAP

Un attacco LDAP si verifica quando un aggressore inietta codice dannoso in una query LDAP. Come le iniezioni SQL, sfrutta l'assenza di un'adeguata convalida dell'input e consente all'aggressore di manipolare la query aggiungendo caratteri speciali per alterarne la logica. Di conseguenza, l'aggressore può:

  • Bypassare l'autenticazione: Gli aggressori possono manipolare le query per accedere senza conoscere i nomi utente e le password reali.
  • Escalation dei privilegi: Gli aggressori utilizzano le query LDAP per identificare gli account di servizio e gli utenti con privilegi elevati e per sfruttare le vulnerabilità o le configurazioni errate per aumentare i privilegi.
  • Esfiltrazione di dati: Gli aggressori utilizzano query LDAP eccessive o insolite per estrarre nomi utente, password e altri dati riservati dalla directory.
  • Enumerare la directory: Gli aggressori utilizzano spesso le query LDAP per enumerare le appartenenze di utenti e gruppi e per mappare l'ambiente AD.
  • Raccolta di credenziali: Le query LDAP dannose possono essere utilizzate per raccogliere informazioni sulle politiche di password, sulla scadenza delle password e sulle politiche di blocco degli account, consentendo agli aggressori di prepararsi ad attacchi con password.

Le informazioni raccolte durante le interrogazioni LDAP spesso aiutano gli aggressori a pianificare e lanciare tattiche più sofisticate. In casi estremi, un aggressore cerca di ottenere il pieno controllo dei servizi di directory, con conseguente accesso diffuso alle risorse e ai sistemi di rete.

Processo di iniezione della query LDAP
Perché gli aggressori lo usano

Perché gli aggressori prendono di mira le directory LDAP

Gli aggressori prendono di mira le directory LDAP perché spesso contengono informazioni sensibili sugli account degli utenti e sulla struttura della rete. Le query LDAP vengono utilizzate nelle prime fasi di un attacco per raccogliere dettagli su utenti, gruppi, computer e altri oggetti all'interno di un servizio di directory.

Rilevamenti della piattaforma

Come prevenire e rilevare le minacce alle query LDAP

Il passo più importante che i team di sicurezza possono compiere per bloccare le query di ricerca LDAP dannose è il rilevamento e la risposta alle minacce. Tuttavia, diverse misure di prevenzione possono contribuire a mitigare il rischio di minacce basate su LDAP. Queste includono:

  • Controlli di accesso basati sui ruoli (RBAC): Limitare gli account che possono eseguire interrogazioni LDAP e limitare l'accesso agli attributi sensibili. Solo gli account privilegiati devono avere accesso a informazioni critiche come le appartenenze ai gruppi e gli attributi delle password.
  • Segmentazione della rete: Separare i servizi di directory sensibili dal traffico di rete generale per rendere più difficile agli aggressori spostarsi lateralmente e interrogare il server LDAP.
  • Crittografia: Assicurarsi che il traffico LDAP sia crittografato utilizzando LDAP over SSL (LDAPS) per impedire l'intercettazione o la manomissione durante la trasmissione.
  • Autenticazione forte e monitoraggio: Implementare l'autenticazione a più fattori (MFA) per gli account privilegiati e monitorare attentamente le attività. In questo modo è più difficile per gli aggressori utilizzare credenziali rubate per eseguire query LDAP.
  • Verifiche frequenti: Verificate regolarmente le autorizzazioni LDAP e i modelli di query per assicurarvi che non vi siano configurazioni errate o segni di abuso.

Una volta che un attaccante ottiene l'accesso alla rete, avete pochi minuti per rilevare e rispondere alle minacce prima che si trasformino in una vera e propria violazione. Il segreto è analizzare il traffico LDAP in tempo reale, consentendo agli analisti della sicurezza di identificare e affrontare rapidamente le minacce di Active Directory. 

Un modo per farlo è monitorare e registrare il traffico LDAP. Raccogliete e analizzate regolarmente i log LDAP alla ricerca di schemi insoliti. Alcune organizzazioni si affidano ai SIEM per segnalare le query sospette in base a regole predefinite.

Tuttavia, un metodo più efficace è quello di sfruttare l'analisi comportamentale guidata dall'intelligenza artificiale per rilevare le query LDAP sospette. La piattaforma Vectra AI esegue questa operazione costruendo una linea di base della normale attività LDAP, che può poi utilizzare per segnalare le deviazioni che indicano una potenziale attività dannosa.

Nessun articolo trovato.
Esplora tutti i rilevamenti

Proteggete la vostra rete con rilevamenti avanzati

Il rilevamento della Query LDAP sospetta è una delle decine di rilevamenti avanzati guidati dall'intelligenza artificiale disponibili nella piattaforma Vectra AI , che copre il 90% delle tecniche rilevanti di MITRE ATT&CK . Insieme, queste tecniche consentono ai team di sicurezza di prevenire gli attacchi, sia noti che sconosciuti, nelle prime fasi della loro progressione.

Esplora la piattaforma
Per saperne di più

DOMANDE FREQUENTI