Active Directory: কর্পোরেট নেটওয়ার্কের কেন্দ্রবিন্দু কেন হ্যাকারদের প্রধান লক্ষ্য?

Active Directory একটি hierarchical directory service যা LDAP, Kerberos, DNS এবং SMB-র মতো প্রোটোকলের উপর গড়ে উঠেছে। এর গঠনের সবচেয়ে বড় ইউনিট হলো Forest, যা এক বা একাধিক Domain ধারণ করে। প্রতিটি Domain-এর নিজস্ব security policy থাকে, কিন্তু একই forest-এর domain গুলোর মধ্যে স্বয়ংক্রিয় two-way transitive trust থাকে।

প্রতিটি ডোমেইনে এক বা একাধিক Domain Controller (DC) থাকে, যেগুলো NTDS.dit নামের ডাটাবেস ফাইলে সমস্ত user, group, computer এবং তাদের credential hash সংরক্ষণ করে। এই একটি ফাইল-ই বলে দেয় কেন Domain Controller সবচেয়ে সংবেদনশীল asset—এতে domain-এর প্রতিটি অ্যাকাউন্টের NTLM hash এবং Kerberos key থাকে।

Active Directory-র অনুমোদন ব্যবস্থা মূলত Kerberos-এর উপর নির্ভরশীল। একজন user যখন লগইন করেন, তিনি প্রথমে Key Distribution Center (KDC) থেকে একটি Ticket Granting Ticket (TGT) পান, এবং পরে এই TGT ব্যবহার করে বিভিন্ন service-এর জন্য Service Ticket (TGS) সংগ্রহ করেন। এই ticket-based ব্যবস্থা দক্ষ এবং scalable, কিন্তু এর অভ্যন্তরীণ trust assumption-গুলোই বহু আক্রমণের ভিত্তি।

AD-র গুরুত্ব এবং তার মধ্যে নিহিত একাধিক historical দুর্বলতা মিলে এটিকে আক্রমণকারীদের প্রিয় লক্ষ্যে পরিণত করেছে।

Central Source of Truth: AD পুরো প্রতিষ্ঠানের authentication-এর কেন্দ্র। এটি কম্প্রোমাইজ মানে প্রতিটি user impersonate করার ক্ষমতা।

Lateral Movement Hub: আক্রমণকারী একটি workstation থেকে আরেকটিতে সরে যেতে AD-র token, ticket এবং trust relationship ব্যবহার করে। Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash—এই সব technique-ই AD-র অভ্যন্তরীণ ব্যবস্থার সুযোগ নেয়।

Backward Compatibility: AD এত দীর্ঘকাল ধরে চলছে যে এর মধ্যে এখনও NTLM, RC4 Kerberos encryption এবং LM hash-এর মতো legacy উপাদান থেকে গেছে। আধুনিক প্রতিষ্ঠানে এগুলো প্রায়শই disable করা হয় না, কারণ পুরনো অ্যাপ্লিকেশন এগুলোর উপর নির্ভর করে।

Misconfiguration-জনিত দুর্বলতা: AD-র Group Policy, ACL, delegation এবং trust structure অত্যন্ত জটিল। বছরের পর বছর ধরে যোগ-বিয়োগ চলতে চলতে অনেক প্রতিষ্ঠানের AD-তে এমন সব misconfiguration জমে যায় যেগুলো একজন দক্ষ আক্রমণকারী সহজেই কাজে লাগাতে পারে। BloodHound-এর মতো টুল কয়েক মিনিটে এই attack path বের করে দেয়।

Ransomware-এর Force Multiplier: আধুনিক ransomware operator যেমন Conti, LockBit, BlackCat সবাই প্রথমে domain admin privilege অর্জন করে, তারপর GPO বা PsExec-এর মাধ্যমে কয়েক ঘণ্টার মধ্যে হাজার হাজার endpoint encrypt করে দেয়।

AD-র বিরুদ্ধে আক্রমণকারীরা বিভিন্ন কৌশল ব্যবহার করে, যেগুলোর মধ্যে কিছু এখানে আলোচনা করা হলো।

Kerberoasting: যেকোনো ডোমেইন user যেকোনো SPN-যুক্ত service account-এর জন্য Service Ticket request করতে পারে। এই ticket-এর encrypted অংশটি offline crack করে service account-এর পাসওয়ার্ড উদ্ধার করা সম্ভব, বিশেষত যদি RC4 encryption ব্যবহৃত হয় এবং পাসওয়ার্ড দুর্বল হয়।

AS-REP Roasting: যেসব user-এর "Do not require Kerberos pre-authentication" সেট করা থাকে, তাদের জন্য আক্রমণকারী authentication ছাড়াই AS-REP message পেতে পারে, এবং এর encrypted অংশ crack করে পাসওয়ার্ড পেতে পারে।

DCSync: "Replicating Directory Changes" এবং "Replicating Directory Changes All" permission থাকা যেকোনো অ্যাকাউন্ট থেকে আক্রমণকারী Domain Controller-এর মতো আচরণ করে পুরো domain-এর credential hash sync করতে পারে—কোনো ম্যালওয়্যার ছাড়াই।

Golden Ticket এবং Silver Ticket: যদি krbtgt অ্যাকাউন্টের hash একবার চুরি হয়, আক্রমণকারী যেকোনো user-এর জন্য বৈধ TGT তৈরি করতে পারে—এটিই Golden Ticket। Silver Ticket একই ধারণা, কিন্তু একটি নির্দিষ্ট service-এর জন্য।

NTLM Relay: SMB Signing বা LDAP Channel Binding না থাকলে আক্রমণকারী একজন user-এর NTLM authentication intercept করে অন্য সার্ভারে relay করতে পারে।

Unconstrained Delegation Abuse: Unconstrained delegation-যুক্ত সার্ভারে কোনো user authenticate করলে তার TGT সেই সার্ভারে cache হয়। আক্রমণকারী সেই সার্ভার কম্প্রোমাইজ করলে domain admin-এর TGT সহ যেকোনো ticket চুরি করতে পারে।

NotPetya (2017) আক্রমণে আক্রমণকারীরা Mimikatz এবং EternalBlue ব্যবহার করে AD-র মাধ্যমে কয়েক ঘণ্টায় Maersk-এর প্রায় ৪৫,০০০ ডিভাইস এবং ৪,০০০ সার্ভার অকার্যকর করে দিয়েছিল। ক্ষতির পরিমাণ ছিল ৩০০ মিলিয়ন ডলারের বেশি।

২০২০ সালের SolarWinds Sunburst অভিযানে আক্রমণকারীরা ADFS-এর SAML signing certificate চুরি করে "Golden SAML" আক্রমণ চালিয়ে যেকোনো cloud পরিষেবায় যেকোনো user হিসেবে লগইন করার ক্ষমতা অর্জন করেছিল।

বিভিন্ন ransomware case study-তে দেখা গেছে আক্রমণকারী প্রাথমিক phishing থেকে domain admin পর্যন্ত পৌঁছাতে গড়ে মাত্র ৪৮ ঘণ্টা সময় নেয়—এর সিংহভাগ সময়ই AD misconfiguration কাজে লাগানোর জন্য।

AD সুরক্ষিত রাখতে নিম্নলিখিত পদক্ষেপগুলো অত্যন্ত কার্যকর।

Tier-based Administration Model: Microsoft-এর Enterprise Access Model অনুযায়ী admin অ্যাকাউন্টগুলোকে Tier 0 (DC, ADFS), Tier 1 (server), এবং Tier 2 (workstation)-এ ভাগ করা। Tier 0 অ্যাকাউন্ট কখনো Tier 1 বা 2-এ লগইন করবে না।

Privileged Access Workstation (PAW): Domain admin শুধু dedicated, hardened workstation থেকে কাজ করবে—ইন্টারনেট ব্রাউজিং বা ইমেইল চেক করার জন্য ব্যবহার করা যাবে না।

LAPS বাস্তবায়ন: Local Administrator Password Solution ব্যবহার করে প্রতিটি workstation-এ স্বতন্ত্র, randomized local admin পাসওয়ার্ড নিশ্চিত করা।

Service Account Hardening: Group Managed Service Account (gMSA) ব্যবহার করা, যেখানে পাসওয়ার্ড স্বয়ংক্রিয়ভাবে rotate হয় এবং কখনো manually জানা থাকে না।

Kerberos Hardening: RC4 disable করে AES enforce করা, krbtgt অ্যাকাউন্টের পাসওয়ার্ড নিয়মিত (অন্তত বছরে দুইবার) rotate করা।

Attack Path Audit: BloodHound বা PingCastle-এর মতো টুল ব্যবহার করে নিয়মিত AD-র attack path পর্যালোচনা করা।

Monitoring এবং Detection: Domain Controller-এর security event log SIEM-এ পাঠানো, এবং Event ID 4769 (Kerberoasting indicator), 4624 type 9 (NewCredentials), 5145 (sensitive file share access) সহ critical event-এ alert সেট করা।

Microsoft Defender for Identity: AD-নির্দিষ্ট behavioral analytics ব্যবহার করে advanced attack যেমন Pass-the-Hash, Golden Ticket এবং reconnaissance শনাক্ত করা।

Backup এবং Recovery: Offline এবং tamper-resistant AD backup নিশ্চিত করা, এবং নিয়মিত forest recovery exercise চালানো।