Generativní grafové modely pro klamné cíle v Active Directory

Abstract

Služba Active Directory (AD) je základním stavebním kamenem interních sítí ve většině organizací. Jedná se o službu, která obsahuje informace o uživatelích, prostředcích v síti, kontaktech, přístupových právech k datům a dalších závislostech v rámci vnitřní sítě organizace. Z těchto důvodů je Active Directory cílem útočníků, kteří se snaží výše popsané informace získat a využít k dalšímu plánování útoku, přístupu k citlivým datům nebo získaní trvalého přístupu. AD je koncipováno tak, že každý uživatel s přístupem k vnitřní síti se může dotazovat řídícího serveru na další objekty v doméně, takže získáním přístupových údajů k libovolnému běžnému účtu bez zvlástních práv může útočník přímo komunikovat s řídícím serverem AD a zíkat informace a přístup k dalším účtům s většími pravomocemi. V těchto případech je možné použitím honeypotů zvýšit šanci na včasnou detekci. Honeypot je běžně používaný nástroj pasivní ochrany. V nejjednodušší formě se jedná o past, která připomíná reálné zařízení službu či data. Poslední zmiňované se nazývá honeytoken. Největším omezením při použití honeypotu je fakt, že k tomu aby byl účinný, jej útočníci musí najít před interakcí s reálných systémem. Proto je zásadní, aby i ve struktuře Active Directory byl honeypot vhodně umístěn. Vzhledem ke složitosti, kterou struktura AD může mít se jedná o netriviální úkol. V této práci představujeme framework založený na strojovém učení, který analyzuje strukturu AD a rozšiřuje ji o honeytokeny. S využitím grafových neuronových sítí a autoenkodérů vybíráme vhodné umístění honeytokenu v exitujím AD. Modely jsou trénovany a testovány za použití uměle vytvořených datasetů, které jsou vytvořeny podle existujících AD. Představené modely dosahují 0.6 pro F1 metriku při rekonstrukci grafů a přes 60~\% úspěšnnost při predikci hran pro honeytokeny a to i v grafech, které jsou velikostí srovnatelné s produkčními AD. Tato práce ukazuje, že rekurentní neuronové sítě upravené pro zpracování orientovaných acyklických grafů jsou schopné modelovat strukturu Active Directory a rozšířit ji o honeytokeny. Generované uživatelské účty jsou svými vlastnostmi podobné uživatelským účtům v původní struktuře, čímž se snižuje pravděpodobnost jejich odhalení.

Active Directory (AD) is one of the cornerstones of internal network administration inmany organizations. It holds information about users, resources, access rights and otherrelations within the organization’s network that helps administer it. Because of its importance, attackers have been targeting AD in order to obtain ad-ditional information for attack planning, to access sensitive data, or to get persistenceand ultimately complete control of the domain. After the initial breach, the attackerscommonly perform AD reconnaissance. By design, any user with basic access rights canquery the AD database, which means that a password leak of even the most unprivilegeduser is sufficient to gather information about almost any entity within.A common technique while attacking the AD is called lateral movement. Attackerstry to explore the network of the organization without being detected. During this time,they are performing reconnaissance in the AD in order to find high-value targets and waysof getting persistence in the domain. In these attacking scenarios the use of honeypotsmay greatly improve the detection capabilities of the organization by providing an earlywarning system. Honeypots are a well-known form of passive security measures. In themost basic form, they are decoys disguised as real devices or information about a user, inthis last form they are known as honeytokens.Despite being useful and promising a good detection, the basic constraint of a honeypotis that it should be found before the intruders attack a real target. Therefore, it iscrucial to have the honeyuser placed correctly into the AD structure. However, with thecomplexity and diversity of AD structures, this task is very hard.In this thesis we propose a machine learning framework for analysing an AD structureand enriching it with honeyuser accounts. We use graph neural networks and auto en-coder models together with the original structure of the AD to select the best placementof the honeyusers. The models are trained and evaluated using a number of artificialdatasets created from the analysis of real structures. We propose three variants of themodel architecture and evaluate the performance of each of them. Results show that theproposed models achieve F1 score over 0.6 in structure reconstruction tasks. Moreover,the validity ratio of the predicted placement is over 60% for the graphs of sizes similar tothe real-world AD environments.We conclude that recurrent neural networks modified for DAG processing are capableof modelling the structure of the AD and extending it with honeytokens. The generatedhoneytokens have similar properties to entities in the original graph which reduces thechance of their discovery.