(Basato sul lavoro di ricerca e simulazione di Mohammed Bellala)
Nel mondo della sicurezza aziendale, Active Directory è ancora oggi il cuore pulsante dell’identità digitale. È il sistema che decide chi può accedere a cosa, chi può cambiare cosa e, soprattutto, chi può controllare tutto.
Ed è proprio per questo che rappresenta uno dei bersagli preferiti dagli attaccanti.
Durante un’attività di Red Team condotta su un’azienda enterprise, il nostro team ha dimostrato qualcosa che dovrebbe far riflettere ogni responsabile IT: esistono forme di persistenza in Active Directory completamente invisibili, non “difficili da trovare”, ma non enumerabili, nemmeno con privilegi di Domain Admin.
Questa non è teoria. È successo davvero.
Il contesto: un SOC maturo, strumenti avanzati, massima visibilità
L’azienda coinvolta disponeva di:
- privilegi Domain Admin
- visibilità completa sulla rete
- un SOC con agent dedicato al monitoraggio AD
- EDR installato su ogni endpoint
- strumenti commerciali di fascia alta
In altre parole: un ambiente che, sulla carta, avrebbe dovuto essere impenetrabile.
Eppure, dopo 14 giorni di threat hunting attivo, il Blue Team ha trovato zero tracce della persistenza che avevamo introdotto.
Cosa abbiamo introdotto: Makhfi‑SID
Makhfi (مخفی)= significa nascosto, celato, segreto o coperto
Makhfi‑SID è un proof‑of‑concept sviluppato da per scopi di ricerca e formazione.
Il suo obiettivo è dimostrare come sia possibile creare entità AD completamente invisibili, impossibili da enumerare anche con i privilegi più elevati.
🔴 GhostPrincipal
Un account utente con privilegi DCSync completi, ma invisibile a qualsiasi strumento di enumerazione.
Caratteristiche: non compare in Active Directory Users & Computers
- non è visibile a PowerView, BloodHound o qualsiasi tool di discovery
- non può essere enumerato nemmeno da un Domain Admin
- può eseguire un dump di tutte le password hash del dominio
- esiste, ma non può essere visto
🔴 GhostDC
Un Domain Controller “fantasma”, con privilegi da DC ma senza partecipare alla replica.
Caratteristiche:
- non appare in netdom query dc
- non compare nella topologia di replica
- non interferisce con il KDC
- è un DC a tutti gli effetti, ma non esiste per gli strumenti di controllo
La parte davvero preoccupante
Queste tecniche non sono state scoperte in un laboratorio governativo o da un gruppo APT. Sono state sviluppate in un ambiente di ricerca accademico. Se un ricercatore può farlo, è ragionevole pensare che gruppi APT lo abbiano già weaponized (usato come arma)
La domanda che ogni responsabile IT dovrebbe porsi non è:
“Potrebbe succedere anche a noi?”
ma piuttosto: “È già successo e non lo sappiamo?
La sfida per SOC e IT Manager
Se un attaccante avanzato introducesse tecniche come GhostPrincipal o GhostDC nel tuo dominio:
- Come le rileveresti?
- Quali strumenti useresti?
- Quanto sei sicuro delle tue capacità di detection?
- Come dimostreresti al tuo CISO che non esiste persistenza invisibile nel tuo AD?
Per ragioni etiche di sicurezza, il codice non verrà rilasciato pubblicamente.
Makhfi‑SID rimarrà un progetto privato, utilizzato esclusivamente per scopi formativi e di simulazione controllata.
Cosa significa tutto questo per un’azienda ?
Active Directory è ancora oggi il punto di compromissione più critico. E le tecniche di persistenza invisibile rappresentano una minaccia concreta, già alla portata degli attaccanti più avanzati.
Il nostro consiglio è: validare continuamente la capacità di vedere ciò che non vuole essere visto.
Concludendo:
La persistenza invisibile non è fantascienza.
È una realtà tecnica dimostrata sul campo.
Se i tuoi strumenti non possono rilevarla, non significa che non esista.
Significa solo che non la stai vedendo.
Se vuoi imparare personalmente come funzionano le tecniche di attacco avanzato, come si costruisce persistenza invisibile e come si ragiona davvero da Red Teamer, scopri la nostra Academy:
Se invece vuoi valutare la sicurezza della tua azienda, capire se il tuo Active Directory è realmente sotto controllo e verificare la tua capacità di detection contro minacce avanzate, contatta il team SafeBreach: