Generativní grafové modely pro klamné cíle v Active Directory

Abstract

Služba Active Directory (AD) je základním stavebním kamenem interních sítí ve většině organizací. Jedná se o službu, která obsahuje informace o uživatelích, prostředcích v síti, kontaktech, přístupových právech k datům a dalších závislostech v rámci vnitřní sítě organizace. Z těchto důvodů je Active Directory cílem útočníků, kteří se snaží výše popsané informace získat a využít k dalšímu plánování útoku, přístupu k citlivým datům nebo získaní trvalého přístupu. AD je koncipováno tak, že každý uživatel s přístupem k vnitřní síti se může dotazovat řídícího serveru na další objekty v doméně, takže získáním přístupových údajů k libovolnému běžnému účtu bez zvlástních práv může útočník přímo komunikovat s řídícím serverem AD a zíkat informace a přístup k dalším účtům s většími pravomocemi. V těchto případech je možné použitím honeypotů zvýšit šanci na včasnou detekci. Honeypot je běžně používaný nástroj pasivní ochrany. V nejjednodušší formě se jedná o past, která připomíná reálné zařízení službu či data. Poslední zmiňované se nazývá honeytoken. Největším omezením při použití honeypotu je fakt, že k tomu aby byl účinný, jej útočníci musí najít před interakcí s reálných systémem. Proto je zásadní, aby i ve struktuře Active Directory byl honeypot vhodně umístěn. Vzhledem ke složitosti, kterou struktura AD může mít se jedná o netriviální úkol. V této práci představujeme framework založený na strojovém učení, který analyzuje strukturu AD a rozšiřuje ji o honeytokeny. S využitím grafových neuronových sítí a autoenkodérů vybíráme vhodné umístění honeytokenu v exitujím AD. Modely jsou trénovany a testovány za použití uměle vytvořených datasetů, které jsou vytvořeny podle existujících AD. Představené modely dosahují 0.6 pro F1 metriku při rekonstrukci grafů a přes 60~\% úspěšnnost při predikci hran pro honeytokeny a to i v grafech, které jsou velikostí srovnatelné s produkčními AD. Tato práce ukazuje, že rekurentní neuronové sítě upravené pro zpracování orientovaných acyklických grafů jsou schopné modelovat strukturu Active Directory a rozšířit ji o honeytokeny. Generované uživatelské účty jsou svými vlastnostmi podobné uživatelským účtům v původní struktuře, čímž se snižuje pravděpodobnost jejich odhalení.

Active Directory (AD) is one of the cornerstones of internal network administration in many organizations. It holds information about users, resources, access rights and other relations within the organization's network that helps administer it. Because of its importance, attackers have been targeting AD in order to obtain additional information for attack planning, to access sensitive data, or to get persistence and ultimately complete control of the domain. By design, any user with basic access rights can query the AD database, which means that a password leak of even the most unprivileged user is sufficient to gain access to the AD and eventually compromise other accounts with higher privileges. A common technique while attacking the AD is called lateral movement. Attackers try to explore the network of the organization without being detected. During this time, they are performing reconnaissance in the AD in order to find high-value targets and ways of getting persistence in the domain. In these attacking scenarios the use of honeypots may greatly improve the detection capabilities of the organization by providing an early warning system. Honeypots are a well-known form of passive security measures. In the most basic form, they are decoys disguised as real devices or information about a user, in this last form they are known as honeytokens. Despite being useful and promising a good detection, the basic constraint of a honeypot is that it should be found before the intruders attack a real target.Therefore, it is crucial to have the honeyuser placed correctly into the AD structure. However, with the complexity and diversity of AD structures, this task is very hard. In this thesis we propose a machine learning framework for analysing an AD structure and enriching it with honeyuser accounts. We use graph neural networks and auto encoder models together with the original structure of the AD to select the best placement of the honeyusers. The models are trained and evaluated using a number of artificial datasets created from the analysis of real structures. We propose three variants of the model architecture and evaluate the performance of each them. Results show that the proposed models achieve F1 score over 0.6 in structure reconstruction tasks. Moreover, the validity ratio of the predicted placement is over 60% for the graphs of sizes similar to the real-world AD environments. We conclude that recurrent neural networks modified for DAG processing are capable of modelling the structure of the AD and extending it with honeytokens. The generated honeytokens have similar properties to entities in the original graph which reduces the chance of their discovery.