AD Trusts: নেটওয়ার্ক ট্রাস্টের দুর্বলতা কাজে লাগিয়ে সিস্টেম হ্যাকিং!

AD Trust হলো দুটি domain বা forest-এর মধ্যে এমন একটি সম্পর্ক যা এক ডোমেইনের user-কে অন্য ডোমেইনের resource-এ authenticate করতে দেয়। Trust-এর কয়েকটি প্রধান বৈশিষ্ট্য রয়েছে—এটি one-way বা two-way হতে পারে, transitive বা non-transitive হতে পারে, এবং বিভিন্ন ধরনের হতে পারে।

Parent-Child Trust: একই forest-এর মধ্যে parent এবং child domain-এর মধ্যে স্বয়ংক্রিয়ভাবে তৈরি হয়। এটি সবসময় two-way এবং transitive।

Tree-Root Trust: একই forest-এর দুটি tree-র root domain-এর মধ্যে স্বয়ংক্রিয় two-way transitive trust।

Forest Trust: দুটি ভিন্ন forest-এর মধ্যে manually কনফিগার করা trust, যা two-way বা one-way হতে পারে। Selective authentication না করলে এটি transitive হয়।

External Trust: দুটি ভিন্ন forest-এর নির্দিষ্ট দুটি domain-এর মধ্যে non-transitive trust, যা সাধারণত legacy পরিবেশে দেখা যায়।

Realm Trust: Windows এবং non-Windows Kerberos realm (যেমন MIT Kerberos)-এর মধ্যে trust।

Shortcut Trust: Forest-এর গভীর hierarchy-তে authentication-এর latency কমাতে ব্যবহৃত।

প্রতিটি trust-এর সাথে যুক্ত থাকে একটি trust password, যা একটি বিশেষ "trust account" (যার নাম <domain>$) হিসেবে অন্য ডোমেইনে সংরক্ষিত হয়। এই password-ই trust-এর underlying authentication-এর ভিত্তি।

Trust নিরাপত্তার প্রসঙ্গে SID History একটি গুরুত্বপূর্ণ ধারণা। যখন কোনো user একটি ডোমেইন থেকে অন্যটিতে migrate করা হয়, তখন তার পুরনো SID তার নতুন অ্যাকাউন্টের SIDHistory attribute-এ রাখা হয়, যাতে পুরনো ডোমেইনের resource access বজায় থাকে। কিন্তু আক্রমণকারী যদি কোনো অ্যাকাউন্টে অপ্রত্যাশিত SIDHistory যোগ করতে পারে—বিশেষ করে অন্য ডোমেইনের privileged group-এর SID—তবে সে সরাসরি সেই ডোমেইনে privilege পেয়ে যায়।

এর প্রতিরোধে SID Filtering নামে একটি ব্যবস্থা রয়েছে, যা ট্রাস্ট অতিক্রমকারী authentication-এ অপ্রত্যাশিত SID গুলো মুছে দেয়। কিন্তু legacy migration-এর প্রয়োজনে অনেক প্রতিষ্ঠানে SID Filtering বন্ধ করে রাখা হয়, যা ভয়াবহ ঝুঁকির কারণ।

AD Trust-এর বিরুদ্ধে কয়েকটি জনপ্রিয় আক্রমণ কৌশল রয়েছে।

SID History Injection: আক্রমণকারী যদি একটি child domain-এর domain admin হয়, সে Mimikatz-এর lsadump::dcsync দিয়ে child domain-এর krbtgt hash পেয়ে যেতে পারে। এর সাথে SID History injection ব্যবহার করে সে Enterprise Admin গ্রুপের SID (S-1-5-21-<root-domain>-519) যুক্ত একটি Golden Ticket তৈরি করতে পারে। যদি forest-এ SID Filtering disabled থাকে, এই ticket parent domain-এ Enterprise Admin হিসেবে গ্রহণ হয়—অর্থাৎ child compromise = forest compromise।

Trust Ticket Forgery: Trust account-এর hash পেলে আক্রমণকারী একটি inter-realm TGT তৈরি করতে পারে, যা ব্যবহার করে অন্য ডোমেইনে service ticket request করা যায়।

Foreign Group Membership Abuse: Trusted ডোমেইনের user-দের যদি অন্য ডোমেইনের sensitive group-এ সদস্য করা হয়, তবে আক্রমণকারী সেই foreign user compromise করে সরাসরি অন্য ডোমেইনে privilege পায়।

Cross-Forest Kerberoasting: Forest trust-এর মাধ্যমে আক্রমণকারী trusted forest-এর SPN-এর জন্য ticket request করতে পারে এবং সেগুলো crack করার চেষ্টা করতে পারে।

Printer Bug এবং Trust: MS-RPRN Printer Bug ব্যবহার করে আক্রমণকারী একটি domain controller-কে অন্য ডোমেইনের কোনো মেশিনে authenticate করতে বাধ্য করতে পারে—এর সাথে unconstrained delegation মিললে পুরো forest compromise সম্ভব।

বহু Red Team engagement-এর রিপোর্টে দেখা গেছে যে large enterprise-এ AD Trust-এর misconfiguration ব্যবহার করে initial foothold থেকে enterprise admin পর্যন্ত পৌঁছানো সম্ভব হয়েছে কয়েক ঘণ্টায়। বিশেষ করে merger-acquisition-এর পরবর্তী পর্যায়ে যখন দুটি forest-এর মধ্যে দ্রুত সহযোগিতার জন্য trust তৈরি করা হয়, কিন্তু পরিচ্ছন্নভাবে SID Filtering এবং Selective Authentication কনফিগার করা হয় না, সেখানে এই আক্রমণ ব্যাপকভাবে কাজ করে।

একটি বিখ্যাত গবেষণায় Will Schroeder এবং Lee Christensen "An ACE Up The Sleeve" শীর্ষক রিপোর্টে দেখিয়েছেন কীভাবে trust-এর ACL-জনিত দুর্বলতা কাজে লাগিয়ে privilege escalation করা যায়।

বিভিন্ন ransomware গোষ্ঠী—বিশেষত যেগুলো large enterprise-কে লক্ষ্য করে—তারাও trust abuse-এর কৌশল রপ্ত করেছে। তারা প্রথমে একটি subsidiary domain-এ প্রবেশ করে, তারপর forest-wide encryption ছড়িয়ে দেয়।

AD Trust-কে নিরাপদ রাখতে নিম্নলিখিত পদক্ষেপ অপরিহার্য।

SID Filtering Enable রাখা: External trust এবং forest trust-এ SID Filtering যেন কখনো disable না থাকে তা নিশ্চিত করা। netdom trust /quarantine কমান্ড দিয়ে এর অবস্থা যাচাই করা যায়।

Selective Authentication ব্যবহার: Forest trust-এ Selective Authentication enable করলে শুধু explicit-ভাবে অনুমোদিত user-রা trusted resource-এ access পায়, যা attack surface উল্লেখযোগ্যভাবে কমায়।

Trust Audit: নিয়মিত Get-ADTrust এবং BloodHound-এর "Domain Trust" view ব্যবহার করে সব trust-এর তালিকা ও তাদের attribute পর্যালোচনা করা। অপ্রয়োজনীয় trust সরিয়ে দেওয়া।

Foreign Group Membership Review: নিজের domain-এর sensitive group-এ অন্য domain-এর কোনো user/group আছে কি না তা নিয়মিত যাচাই করা।

krbtgt Rotation in Child Domain: Child domain-এর krbtgt hash compromise হলে forest compromise-এর ঝুঁকি থাকে, তাই child domain-এও নিয়মিত krbtgt rotation নিশ্চিত করা।

Unconstrained Delegation সরানো: Domain controller ছাড়া কোনো মেশিনে unconstrained delegation থাকা উচিত নয়, কারণ এটি cross-domain attack-এর gateway হতে পারে।

Printer Spooler Disable: Domain controller-এ Print Spooler service বন্ধ রাখা যাতে printer bug exploit করা না যায়।

Trust Account Monitoring: Trust account-এর authentication activity SIEM-এ মনিটর করা—অস্বাভাবিক logon pattern শনাক্ত করতে।

Tier 0 Separation Across Forests: যদি একাধিক forest থাকে, প্রতিটির Tier 0 admin সম্পূর্ণরূপে আলাদা রাখা—কোনো single account যেন একাধিক forest-এ admin না হয়।

Microsoft Defender for Identity: Cross-domain attack যেমন Golden Ticket bridging বা SID History abuse শনাক্ত করতে এই ধরনের identity protection সমাধান ব্যবহার করা।