Атаки на Active Directory и как их обнаруживать

Почему Active Directory — главная цель

AD централизует идентичности: одна скомпрометированная привилегированная учётная запись (администратор домена, владелец опасного ACL, сервисная учётка с правами репликации) даёт контроль над всем лесом. Атакующему не нужно ломать каждый сервер по отдельности — ему достаточно один раз дойти до контроллера домена (DC) или до учётки с правами на него.

Вторая причина — «легитимность» большинства техник. Kerberoasting, Pass-the-Hash и DCSync используют те же протоколы, что и обычная работа домена. Для классического антивируса или сетевого средства такие действия часто выглядят как штатный трафик. Отсюда практический вывод: защита AD строится не на «сигнатуре вируса», а на аудите, корреляции событий и поведенческой аналитике вокруг идентичностей.

Пять типовых атак на Active Directory

Ниже — короткий разбор техник по принципу «как это работает на практике». Это не руководство для атакующего, а ориентир для тех, кто настраивает мониторинг и защиту.

- **Kerberoasting.** Любой доменный пользователь может запросить сервисный билет (TGS) для учётной записи с SPN. Билет зашифрован хешем пароля сервисной учётки — атакующий выгружает его и подбирает пароль офлайн. Бьёт по слабым паролям сервисных аккаунтов. - **Pass-the-Hash (PtH).** Для аутентификации по NTLM достаточно хеша пароля, а не самого пароля. Украв хеш с одного хоста, атакующий «переиспользует» его для входа на другие системы — классический приём горизонтального перемещения. - **DCSync.** Имея права на репликацию каталога (Replicating Directory Changes), атакующий имитирует контроллер домена и запрашивает хеши паролей любых учёток, включая krbtgt — фактически выгрузка всей базы секретов домена. - **Golden Ticket.** Зная хеш учётной записи krbtgt, атакующий сам выписывает валидные билеты Kerberos (TGT) с любыми правами и сроком действия — устойчивый, трудно выводимый механизм закрепления в домене. - **Злоупотребление ACL.** Избыточные или ошибочные права в каталоге (GenericAll, WriteDACL, права сброса пароля, членство в привилегированных группах) позволяют тихо повысить привилегии цепочкой легитимных действий, без эксплойтов.

Как обнаруживать атаки на AD

Детектирование строится в три слоя, которые дополняют друг друга:

- **Журналы и аудит.** Базовый уровень — корректно настроенная политика аудита на контроллерах домена: события входа, выдачи билетов Kerberos (4768/4769), доступа к объектам каталога (4662), изменений групп и ACL. Без расширенного аудита большинство атак просто не оставляет видимого следа. - **Корреляция в SIEM.** Сырые события почти бесполезны поодиночке. Ценность даёт корреляция: всплеск запросов TGS, вход админа на нетипичном хосте, репликация от машины, которая не является DC. SIEM собирает это в цепочки и поднимает алерты. - **ITDR и поведенческая аналитика.** Класс Identity Threat Detection and Response специализируется именно на идентичностях: строит профиль нормального поведения учёток, выявляет аномалии (DCSync от рабочей станции, Pass-the-Hash, подозрительные билеты) и даёт реагирование. Чем отличается от EDR/XDR — разбираем в [отдельной статье](/research/chto-takoe-itdr).

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики защиты идентичностей сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом ITDR-решений](/rating/itdr-identity-threat-detection-response): здесь — техники атак и принципы детекта, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с техниками и детектом — переходите к сравнению поставщиков: **[рейтинг ITDR-решений →](/rating/itdr-identity-threat-detection-response)**. Полезно прочитать рядом: [что такое ITDR и чем он отличается от EDR/XDR](/research/chto-takoe-itdr) и [рейтинг ITDR-решений 2026: защита идентичностей](/research/rejting-itdr-reshenij-2026).