NTDS Exfiltration: উইন্ডোজ ডোমেইন কন্ট্রোলার থেকে পাসওয়ার্ড ডেটাবেস চুরির পদ্ধতি!

NTDS.dit (NT Directory Services Database) হলো Microsoft Active Directory এর প্রধান ডেটাবেস ফাইল। এটি Extensible Storage Engine (ESE) ব্যবহার করে এবং সাধারণত %SystemRoot%\NTDS\ntds.dit এ অবস্থিত। এই ফাইল ডোমেইনের সমস্ত অবজেক্ট যেমন User, Group, Computer, এবং তাদের attributes ধারণ করে।

NTDS.dit ফাইলে প্রতিটি ব্যবহারকারীর Password Hash সংরক্ষিত থাকে দুটি ফর্মে: NT Hash (MD4 based) এবং LM Hash (legacy)। আধুনিক Windows সিস্টেমে LM Hash সাধারণত নিষ্ক্রিয় থাকে। এই হ্যাশগুলো SYSTEM Hive থেকে প্রাপ্ত Boot Key দিয়ে এনক্রিপ্ট করা থাকে, যা PEK (Password Encryption Key) তৈরি করে।

NTDS Exfiltration এর জন্য আক্রমণকারীর প্রয়োজন Domain Admin বা সমতুল্য privileges, অথবা অন্তত Domain Controller এ Local Administrator access। কারণ NTDS.dit একটি locked file হিসেবে কাজ করে যখন Active Directory চালু থাকে।

কয়েকটি প্রধান পদ্ধতি রয়েছে NTDS Exfiltration এর। প্রথমটি হলো Volume Shadow Copy Service (VSS) ব্যবহার। vssadmin বা ntdsutil কমান্ড দিয়ে NTDS.dit এর একটি স্ন্যাপশট কপি তৈরি করা যায়। ntdsutil টুলটি Microsoft এর নিজস্ব এবং এটি ব্যবহার করে IFM (Install From Media) ব্যাকআপ তৈরি করা যায়।

দ্বিতীয় পদ্ধতি হলো Direct Memory Extraction। Mimikatz বা Impacket এর secretsdump.py স্ক্রিপ্ট ব্যবহার করে সরাসরি LSASS process থেকে credentials এক্সট্র্যাক্ট করা যায়। তবে এই পদ্ধতি modern EDR দ্বারা ধরা পড়ার সম্ভাবনা বেশি।

তৃতীয় এবং সবচেয়ে stealthy পদ্ধতি হলো DCSync Attack। এই আক্রমণে আক্রমণকারী Domain Controller হিসেবে নিজেকে impersonate করে এবং Directory Replication Service (DRS) Remote Protocol ব্যবহার করে অন্য DC থেকে credentials চায়। এর জন্য Replicating Directory Changes এবং Replicating Directory Changes All permissions প্রয়োজন।

চতুর্থ পদ্ধতি DCShadow আক্রমণ যেখানে আক্রমণকারী একটি rogue Domain Controller নিবন্ধন করে এবং পরিবর্তন replicate করে। এটি সবচেয়ে advanced এবং detect করা কঠিন।

NTDS.dit এর সাথে SYSTEM Hive ফাইলটিও প্রয়োজন। SYSTEM Hive %SystemRoot%\System32\config\SYSTEM এ অবস্থিত এবং এতে Boot Key থাকে যা NTDS.dit এর encrypted hashes ডিক্রিপ্ট করতে প্রয়োজন।

একবার উভয় ফাইল আক্রমণকারীর হাতে এলে, তারা impacket-secretsdump বা DSInternals PowerShell module ব্যবহার করে hashes এক্সট্র্যাক্ট করতে পারে। এরপর Hashcat বা John the Ripper দিয়ে অফলাইনে hash cracking চলতে পারে। NTLM hash crack করতে rainbow table বা dictionary attack ব্যবহৃত হয়।

NTDS Exfiltration ঘটনার বেশ কয়েকটি বাস্তব উদাহরণ রয়েছে। ২০১৭ সালের NotPetya আক্রমণে Ukraine এবং অন্যান্য দেশের অনেক প্রতিষ্ঠানের Domain Controller compromise হয়েছিল। আক্রমণকারীরা Mimikatz ব্যবহার করে credentials সংগ্রহ করে পুরো নেটওয়ার্কে lateral movement করেছিল।

২০২০ সালের SolarWinds Supply Chain আক্রমণে APT29 (Cozy Bear) Domain Controller এ অ্যাক্সেস পেয়ে DCSync আক্রমণ চালিয়েছিল। তারা Golden Ticket তৈরি করে দীর্ঘমেয়াদী persistence অর্জন করেছিল।

২০২১ সালের Colonial Pipeline র‌্যানসমওয়্যার আক্রমণে DarkSide গ্রুপ একটি ছিনতাই করা VPN ক্রেডেনশিয়াল দিয়ে নেটওয়ার্কে প্রবেশ করে পরবর্তীতে Domain Controller এ অ্যাক্সেস পায় এবং NTDS.dit এক্সফিল্ট্রেট করে।

একটি বাস্তব Red Team Engagement এর উদাহরণ দেখা যাক। ধরা যাক একজন penetration tester একটি কর্পোরেট পরিবেশে Domain Admin privileges পেয়েছেন। তিনি প্রথমে একটি Domain Controller এ remote PowerShell session স্থাপন করবেন।

ntdsutil পদ্ধতি ব্যবহার করে তিনি একটি কমান্ড সিকোয়েন্স চালাবেন। প্রথমে ntdsutil চালু করে activate instance ntds কমান্ড দেবেন। তারপর ifm মোডে গিয়ে create full c:\temp\ntds_backup কমান্ড দিয়ে একটি সম্পূর্ণ ব্যাকআপ তৈরি করবেন। এই ব্যাকআপে NTDS.dit এবং SYSTEM Hive উভয়ই থাকবে।

বিকল্পভাবে, vssadmin ব্যবহার করে তিনি প্রথমে একটি shadow copy তৈরি করবেন: vssadmin create shadow /for=C:। তারপর shadow copy থেকে NTDS.dit এবং SYSTEM Hive কপি করবেন।

PowerShell এ এটি আরও sophisticated হতে পারে। Diskshadow ইউটিলিটি ব্যবহার করে স্ক্রিপ্টেড shadow copy তৈরি করা যায় যা লগ কম রাখে।

DCSync আক্রমণের ক্ষেত্রে penetration tester তার own machine থেকে Impacket এর secretsdump.py চালাবেন: secretsdump.py -dc-ip 192.168.1.10 domain/user:[email protected]। এই কমান্ড নেটওয়ার্কের মাধ্যমে credentials এক্সট্র্যাক্ট করবে।

একবার NTDS.dit এবং SYSTEM Hive এক্সফিল্ট্রেট হলে, attacker তার own machine এ impacket-secretsdump চালাবে: secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL। এর ফলাফল হবে username:RID:LM_hash:NT_hash format এ সমস্ত domain users এর হ্যাশ।

Krbtgt account এর hash বিশেষভাবে মূল্যবান। এই account এর hash দিয়ে Golden Ticket তৈরি করা যায়, যা যেকোনো user হিসেবে যেকোনো service access করতে দেয়। Mimikatz এর kerberos::golden কমান্ড দিয়ে এই ticket তৈরি করা যায়।

বাংলাদেশের প্রেক্ষাপটে একটি hypothetical scenario বিবেচনা করা যাক। একটি বৃহৎ ফাইন্যান্সিয়াল প্রতিষ্ঠানের IT অবকাঠামোতে Active Directory ব্যবহৃত হয়। যদি কোনো কর্মচারীর workstation phishing email এর মাধ্যমে compromise হয় এবং সেই কর্মচারী Domain Admin group এর সদস্য হয়, তবে আক্রমণকারী সহজেই NTDS Exfiltration চালাতে পারে।

আরেকটি কুখ্যাত ঘটনা ছিল Hafnium গ্রুপের ProxyLogon vulnerability exploit। Microsoft Exchange Server এর zero-day vulnerability ব্যবহার করে তারা SYSTEM privileges অর্জন করেছিল এবং পরবর্তীতে Domain Controller এ pivot করে NTDS এক্সফিল্ট্রেট করেছিল।

DragonForce র‌্যানসমওয়্যার গ্রুপ ২০২৪ সালে কয়েকটি বহুজাতিক কোম্পানির Active Directory compromise করে। তারা প্রথমে initial access broker থেকে credentials কিনে নেটওয়ার্কে প্রবেশ করে, তারপর BloodHound দিয়ে attack path mapping করে এবং সবশেষে NTDS exfiltrate করে double extortion attack চালায়।

NTDS Exfiltration প্রতিরোধে একটি multi-layered defense strategy প্রয়োজন। প্রথমেই, Privileged Access Management (PAM) প্রতিষ্ঠা করতে হবে। Tier 0, Tier 1, Tier 2 model অনুসরণ করে Domain Admin accounts শুধুমাত্র Domain Controllers এ ব্যবহার করতে হবে।

Just-in-Time (JIT) Administration প্রয়োগ করা উচিত যেখানে privileges শুধুমাত্র প্রয়োজনের সময় এবং নির্দিষ্ট সময়ের জন্য প্রদান করা হয়। Microsoft Privileged Access Workstation (PAW) ব্যবহার করে administrative tasks এর জন্য আলাদা hardened workstation থাকতে পারে।

Domain Controllers এর hardening অপরিহার্য। শুধুমাত্র প্রয়োজনীয় services চালু রাখতে হবে। RDP access সীমিত করতে হবে এবং Network Level Authentication (NLA) চালু রাখতে হবে। Local Security Authority (LSA) Protection চালু করতে হবে যা LSASS process কে protected হিসেবে চিহ্নিত করে।

Credential Guard সক্রিয় করতে হবে, যা Virtualization-Based Security (VBS) ব্যবহার করে credentials কে isolated container এ সংরক্ষণ করে। এটি Mimikatz এর মতো tools কে LSASS থেকে credentials extract করতে বাধা দেয়।

Audit Logging এর সঠিক কনফিগারেশন critical। নিম্নলিখিত events মনিটর করতে হবে: Event ID 4662 (Object Access) যা DCSync এর সম্ভাব্য indicator। Event ID 5145 (Network Share Access) যা NTDS.dit access detect করতে পারে। Event ID 4624 (Logon Events) এবং Event ID 4672 (Special Privileges Assigned) গুরুত্বপূর্ণ।

SIEM সিস্টেমে নির্দিষ্ট detection rules তৈরি করতে হবে। যেমন, যদি কোনো non-DC account থেকে DRSGetNCChanges request আসে, এটি DCSync attack এর strong indicator। Microsoft Defender for Identity (পূর্বে Azure ATP) এই ধরনের anomalies স্বয়ংক্রিয়ভাবে শনাক্ত করতে পারে।

Honeytokens মোতায়েন করা যেতে পারে। ভুয়া Domain Admin account তৈরি করে যা কখনো ব্যবহৃত হয় না, এবং সেই account এর কোনো activity detect হলে immediate alert পাঠানো যায়।

Network Segmentation Domain Controllers এর জন্য বিশেষভাবে important। DCs কে আলাদা VLAN এ রাখতে হবে এবং firewall rules দিয়ে ingress এবং egress traffic সীমিত করতে হবে। Microsoft Tier Model অনুসারে workstation থেকে DC তে direct RDP করা উচিত নয়।

Regular Patching অত্যাবশ্যক। বিশেষ করে ZeroLogon (CVE-2020-1472), PrintNightmare (CVE-2021-34527), এবং সাম্প্রতিক kerberos vulnerabilities এর patches দ্রুত apply করতে হবে।

Backup এবং Recovery Strategy প্রস্তুত রাখতে হবে। NTDS.dit এর regular backup নিতে হবে এবং offline storage এ সংরক্ষণ করতে হবে। তবে এই backups নিজেই attack surface, তাই তাদের নিরাপত্তা সমান গুরুত্বপূর্ণ।

Password Policy কঠোর করতে হবে। Minimum 14 character length, complexity requirements, এবং password history enforce করতে হবে। বিশেষ করে Service Accounts এর জন্য Group Managed Service Accounts (gMSA) ব্যবহার করতে হবে যেখানে password automatically rotate হয়।

KRBTGT account এর password নিয়মিত reset করতে হবে। Microsoft এর recommendation অনুসারে প্রতি ১৮০ দিনে দুইবার reset করা উচিত। এই dual reset Golden Ticket এর longevity সীমিত করে।

Anti-Malware এবং EDR Solutions মোতায়েন করতে হবে। CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne ইত্যাদি modern EDR Mimikatz এবং Impacket এর মতো tools detect করতে পারে।

Application Whitelisting Windows Defender Application Control (WDAC) বা AppLocker দিয়ে প্রতিষ্ঠা করা যেতে পারে। এতে শুধুমাত্র অনুমোদিত applications চালানোর সুযোগ থাকে।

Read-Only Domain Controllers (RODC) branch office বা less secure locations এ ব্যবহার করা যেতে পারে। RODC তে সম্পূর্ণ password database থাকে না, ফলে compromise হলেও damage সীমিত হয়।

Multi-Factor Authentication (MFA) সব privileged accounts এর জন্য বাধ্যতামূলক করতে হবে। Windows Hello for Business, smart cards, বা FIDO2 keys ব্যবহার করা যেতে পারে।

Incident Response Plan এ NTDS Exfiltration scenario অন্তর্ভুক্ত থাকতে হবে। যদি এই ধরনের আক্রমণ সন্দেহ হয়, প্রথমেই KRBTGT password reset করতে হবে (দুইবার), সমস্ত Service Account passwords পরিবর্তন করতে হবে, এবং Domain Controllers এর forensic analysis করতে হবে।

Compromise Assessment নিয়মিত পরিচালনা করতে হবে। PingCastle, BloodHound (defensive use), এবং Microsoft এর Active Directory Risk Assessment tools ব্যবহার করে environment এর security posture মূল্যায়ন করা যায়।