Active Directory, mint kétélű kard
A Palo Alto Unit 42 cikke gyakorlati útmutatót nyújt a Lightweight Directory Access Protocol (LDAP) alapú támadások észlelési stratégiájának kidolgozásához. Az LDAP-attribútumokkal visszaélő nemzetállami és kiberbűnözői szereplők valós példáit elemezték és megvizsgálták a gyakori LDAP enumerálási lekérdezéseket, és értékelték azok potenciális kockázatait.
Az LDAP nagy teljesítményű protokoll az Active Directoryhoz hasonló címtárszolgáltatások eléréséhez és kezeléséhez. A kiberszereplők gyakran használják az z LDAP-ot az oldalirányú mozgásra és a kritikus eszközök enumerálására az on-premise kibertámadások során. A kiberszereplők gyakran használnak olyan eszközöket is, mint a BloodHound és a SharpHound, amelyek rosszindulatú célokra használják az LDAP-ot. A szervezeten belüli jóindulatú és rosszindulatú LDAP-tevékenység megkülönböztetése kihívást jelent. A tartományvezérlő által generált jóindulatú eseménynaplók nagy mennyisége rendkívül megnehezíti a gyűjtést és a rosszindulatú LDAP-tevékenység felderítését. Az LDAP által generált nagy mennyiségű naplóbejegyzések megnehezíthetik a rosszindulatú tevékenységek azonosítását. Azért keletkezik sok naplóadatot, mert számos rendszer és alkalmazás használja az LDAP-ot. Az olyan gyakori folyamatok, mint például az Outlook, LDAP-naplókat generálnak, ami rávilágít a protokoll kiterjedt szerepére a címtárszolgáltatásokban.
