Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecnica di attacco

Query LDAP

LDAP è un protocollo ampiamente utilizzato per la gestione di utenti, dispositivi e servizi all'interno di un ambiente aziendale. È una parte importante della gestione delle identità e degli accessi, ma può anche essere un canale attraverso il quale gli aggressori possono condurre ricognizioni, aumentare i privilegi e sottrarre dati.

Definizione
Come funziona
Perché gli aggressori lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è una query LDAP?

La query LDAP (Lightweight Directory Access Protocol) è un comando che richiede informazioni da un servizio di directory. Consente alle applicazioni di accedere rapidamente e gestire i dati su servizi come Active Directory ed è comunemente utilizzata dalle organizzazioni per gestire account utente, dispositivi e controllo degli accessi. È anche una tecnica utilizzata dagli hacker per recuperare le credenziali degli utenti e altri dati sensibili.

Come funziona

Come funzionano gli attacchi LDAP injection

Un attacco LDAP si verifica quando un hacker inserisce codice dannoso in una query LDAP. Come gli attacchi SQL injection, sfrutta l'assenza di una corretta convalida degli input e consente all'hacker di manipolare la query aggiungendo caratteri speciali per alterarne la logica. Di conseguenza, l'hacker può:

  • Bypass dell'autenticazione: gli aggressori possono manipolare le query per effettuare l'accesso senza conoscere i nomi utente e le password effettivi.
  • Escalation dei privilegi: gli aggressori utilizzano query LDAP per identificare account di servizio e utenti con privilegi elevati e sfruttano vulnerabilità o configurazioni errate per ottenere un'escalation dei privilegi.
  • Esfiltrazione dei dati: gli aggressori utilizzano query LDAP eccessive o insolite per estrarre nomi utente, password e altri dati riservati dalla directory.
  • Enumerare la directory: gli aggressori utilizzano spesso query LDAP per enumerare le appartenenze di utenti e gruppi e per mappare l'ambiente AD.
  • Raccolta di credenziali: query LDAP dannose possono essere utilizzate per raccogliere informazioni sulle politiche relative alle password, alla scadenza delle password e alle politiche di blocco degli account, consentendo agli aggressori di prepararsi per attacchi alle password.

Le informazioni raccolte durante le query LDAP spesso aiutano gli aggressori a pianificare e lanciare tattiche più sofisticate. In casi estremi, un aggressore cerca di ottenere il controllo totale sui servizi di directory, ottenendo così un accesso diffuso alle risorse e ai sistemi di rete.

Processo di iniezione di query LDAP
Perché gli aggressori lo utilizzano

Perché gli hacker prendono di mira le directory LDAP

Gli aggressori prendono di mira le directory LDAP perché spesso contengono informazioni sensibili sugli account utente e sulla struttura di rete. Le query LDAP vengono utilizzate nelle prime fasi di un attacco come mezzo per raccogliere dettagli su utenti, gruppi, computer e altri oggetti all'interno di un servizio di directory.

Rilevamenti della piattaforma

Come prevenire e rilevare le minacce relative alle query LDAP

Il passo più importante che i team di sicurezza possono compiere per bloccare le query di ricerca LDAP dannose è il rilevamento e la risposta alle minacce. Tuttavia, diverse misure preventive possono aiutare a mitigare la minaccia delle minacce basate su LDAP. Queste includono:

  • Controlli di accesso basati sui ruoli (RBAC): limitare quali account possono eseguire query LDAP e limitare l'accesso agli attributi sensibili. Solo gli account privilegiati dovrebbero avere accesso a informazioni critiche come l'appartenenza a gruppi e gli attributi delle password.
  • Segmentazione della rete: separa i servizi di directory sensibili dal traffico di rete generale per rendere più difficile agli aggressori spostarsi lateralmente e interrogare il tuo server LDAP.
  • Crittografia: assicurarsi che il traffico LDAP sia crittografato utilizzando LDAP su SSL (LDAPS) per impedire l'intercettazione o la manomissione durante la trasmissione.
  • Autenticazione forte e monitoraggio: implementare l'autenticazione a più fattori (MFA) per gli account privilegiati e monitorare attentamente l'attività. Ciò rende più difficile per gli aggressori utilizzare credenziali rubate per eseguire query LDAP.
  • Controlli frequenti: controllare regolarmente le autorizzazioni LDAP e i modelli di query per assicurarsi che non vi siano configurazioni errate o segni di abuso.

Una volta che un aggressore ottiene l'accesso alla rete, avete pochi minuti per rilevare e rispondere alle minacce prima che provocino una violazione completa. La chiave è analizzare il traffico LDAP in tempo reale, consentendo agli analisti della sicurezza di identificare e affrontare rapidamente le minacce di Active Directory. 

Un modo per farlo è monitorare e registrare il traffico LDAP. Raccogli e analizza regolarmente i log LDAP per individuare eventuali modelli insoliti. Alcune organizzazioni si affidano ai SIEM per segnalare le query sospette sulla base di regole predefinite.

Tuttavia, un metodo più efficace consiste nell'utilizzare l'analisi comportamentale basata sull'intelligenza artificiale per rilevare query LDAP sospette. La Vectra AI lo fa creando una linea di base dell'attività LDAP normale, che può poi utilizzare per segnalare deviazioni che indicano potenziali attività dannose.

Nessun elemento trovato.
Esplora tutti i rilevamenti

Proteggi la tua rete con rilevamenti avanzati

Il rilevamento delle query LDAP sospette è una delle decine di rilevamenti avanzati basati sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti. Insieme, consentono ai team di sicurezza di prevenire sia gli attacchi noti che quelli sconosciuti nelle prime fasi della loro progressione.

Esplora la piattaforma
Per saperne di più

Domande frequenti