Active Directory (AD) adalah layanan direktori yang digunakan oleh banyak perusahaan untuk mengelola pengguna, komputer, grup, dan berbagai sumber daya jaringan. Dalam lingkungan perusahaan, hampir semua proses autentikasi dan otorisasi bergantung pada Active Directory.
Karena perannya yang sangat penting, Active Directory menjadi target utama bagi penyerang. Jika seorang attacker berhasil memperoleh hak Domain Admin, maka ia dapat mengendalikan hampir seluruh infrastruktur TI perusahaan.
Untuk memahami keamanan Active Directory, seorang pentester perlu menguasai beberapa tool penting yang digunakan untuk melakukan enumerasi, menemukan jalur serangan, mengumpulkan kredensial, hingga melakukan privilege escalation. Artikel ini akan membahas delapan tool yang paling sering digunakan dalam pentest Active Directory, yaitu BloodHound, SharpHound, Impacket, CrackMapExec, Mimikatz, Responder, Rubeus, dan PowerView.
BloodHound: Memetakan Jalur Serangan Active Directory
BloodHound adalah tool yang digunakan untuk menganalisis hubungan antar objek dalam Active Directory. Tool ini membantu pentester menemukan jalur tercepat untuk meningkatkan hak akses hingga mencapai Domain Admin.
Alih-alih melihat Active Directory sebagai kumpulan user dan komputer, BloodHound menampilkan semuanya dalam bentuk grafik yang mudah dipahami.
Dengan BloodHound, seorang pentester dapat mengetahui:
User mana yang memiliki hak istimewa.
Komputer mana yang memiliki sesi administrator aktif.
Grup mana yang memiliki akses berlebihan.
Jalur privilege escalation yang dapat dimanfaatkan.
Sebagai contoh, seorang user biasa mungkin memiliki akses ke grup tertentu yang pada akhirnya memiliki hubungan dengan Domain Admin. BloodHound dapat menampilkan hubungan tersebut dalam bentuk visual sehingga lebih mudah dianalisis.
Kelebihan BloodHound adalah kemampuannya menemukan attack path yang sulit ditemukan secara manual. Oleh karena itu, tool ini menjadi salah satu tool wajib dalam pentest Active Directory modern.
SharpHound: Pengumpul Data untuk BloodHound
SharpHound adalah tool yang digunakan untuk mengumpulkan data dari Active Directory. Data yang dikumpulkan kemudian diimpor ke BloodHound untuk dianalisis.
SharpHound dapat mengumpulkan berbagai informasi seperti:
User domain
Grup domain
Komputer domain
Session pengguna
ACL (Access Control List)
Trust relationship
Secara sederhana, SharpHound berfungsi sebagai “pengumpul data”, sedangkan BloodHound berfungsi sebagai “alat analisis”.
Tanpa SharpHound, BloodHound tidak memiliki data yang cukup untuk membangun grafik hubungan antar objek.
Dalam praktik pentest, SharpHound biasanya dijalankan setelah pentester memperoleh akses awal ke domain.
Impacket: Senjata Utama Pentester Active Directory
Impacket adalah kumpulan script Python yang digunakan untuk berinteraksi dengan berbagai protokol jaringan Windows.
Banyak serangan Active Directory modern menggunakan tool dari Impacket.
Beberapa tool populer dalam Impacket antara lain:
psexec.py
Digunakan untuk menjalankan perintah pada komputer target secara remote.
wmiexec.py
Digunakan untuk memperoleh shell melalui WMI tanpa harus membuka sesi interaktif.
smbexec.py
Alternatif lain untuk remote execution menggunakan SMB.
secretsdump.py
Digunakan untuk mengambil hash password dari Domain Controller atau komputer target.
GetUserSPNs.py
Digunakan untuk melakukan Kerberoasting.
GetNPUsers.py
Digunakan untuk melakukan AS-REP Roasting.
Impacket sering dianggap sebagai salah satu toolkit paling penting dalam pentest Active Directory karena mendukung banyak teknik serangan yang digunakan dalam dunia nyata.
CrackMapExec: Swiss Army Knife untuk Active Directory
CrackMapExec atau CME adalah tool yang digunakan untuk mengelola dan mengotomatisasi berbagai aktivitas dalam Active Directory.
Banyak pentester menyebutnya sebagai “Swiss Army Knife” karena memiliki banyak fungsi dalam satu tool.
Beberapa fungsi utama CME adalah:
Enumerasi domain
Validasi username dan password
Enumerasi SMB
Enumerasi WinRM
Menjalankan perintah secara remote
Mengumpulkan informasi host
Dengan CME, seorang pentester dapat memeriksa ratusan komputer sekaligus tanpa harus mengakses satu per satu.
Tool ini sangat membantu ketika melakukan assessment terhadap lingkungan Active Directory yang besar.
Mimikatz: Tool Legendaris untuk Credential Access
Mimikatz adalah tool yang digunakan untuk memperoleh kredensial dari sistem Windows.
Tool ini sangat terkenal dalam dunia keamanan karena kemampuannya membaca informasi autentikasi yang tersimpan di memori.
Mimikatz dapat digunakan untuk:
Mengambil password yang masih tersimpan di memori
Mengambil hash NTLM
Mengambil tiket Kerberos
Melakukan Pass-the-Hash
Melakukan Pass-the-Ticket
Sebagai contoh, jika seorang administrator sedang login pada komputer tertentu, Mimikatz dapat digunakan untuk mengambil kredensial administrator tersebut dari memori.
Karena kemampuannya yang sangat kuat, Mimikatz sering menjadi fokus utama sistem deteksi keamanan perusahaan.
Responder: Menangkap Kredensial di Jaringan
Responder adalah tool yang digunakan untuk menangkap hash autentikasi Windows melalui teknik poisoning.
Responder memanfaatkan protokol seperti:
LLMNR
NBT-NS
mDNS
Ketika sebuah komputer mencoba menemukan perangkat lain di jaringan namun gagal menemukan DNS yang sesuai, Responder dapat menjawab permintaan tersebut dan berpura-pura menjadi server yang dicari.
Akibatnya, komputer korban dapat mengirimkan hash autentikasi NTLM kepada penyerang.
Hash yang berhasil diperoleh kemudian dapat digunakan untuk:
Password cracking
NTLM Relay
Serangan lanjutan lainnya
Responder sering digunakan pada tahap awal pentest untuk memperoleh kredensial domain.
Rubeus: Eksploitasi Kerberos dalam Active Directory
Rubeus adalah tool yang berfokus pada protokol Kerberos.
Karena Active Directory menggunakan Kerberos sebagai metode autentikasi utama, pemahaman terhadap Rubeus sangat penting.
Beberapa kemampuan Rubeus meliputi:
Kerberoasting
Mengambil tiket layanan yang kemudian dapat di-crack untuk mendapatkan password service account.
AS-REP Roasting
Mengambil data autentikasi dari akun yang tidak memerlukan pre-authentication.
Pass-the-Ticket
Menggunakan tiket Kerberos yang sudah diperoleh untuk mengakses layanan lain.
Ticket Monitoring
Memantau aktivitas tiket Kerberos dalam sistem.
Rubeus sering digunakan bersama BloodHound untuk mengeksploitasi jalur serangan yang ditemukan selama proses enumerasi.
PowerView: Enumerasi Active Directory Menggunakan PowerShell
PowerView adalah tool berbasis PowerShell yang digunakan untuk melakukan enumerasi Active Directory.
PowerView memungkinkan pentester memperoleh informasi penting tanpa memerlukan hak administrator.
Informasi yang dapat dikumpulkan antara lain:
User domain
Grup domain
Komputer domain
Trust relationship
Group Policy
ACL
PowerView sangat berguna untuk memahami struktur Active Directory sebelum melakukan serangan lebih lanjut.
Banyak data yang digunakan oleh BloodHound sebenarnya juga dapat ditemukan menggunakan PowerView.
Karena itu, PowerView sering menjadi salah satu tool pertama yang digunakan setelah mendapatkan akses ke domain.
Pemetaan Tool Berdasarkan Tahapan Pentest
Setiap tool memiliki fungsi yang berbeda dalam proses pentest.
Initial Access
Responder
Impacket
Enumeration
PowerView
CrackMapExec
SharpHound
Credential Access
Mimikatz
Rubeus
Responder
Privilege Escalation
BloodHound
PowerView
Rubeus
Lateral Movement
Impacket
CrackMapExec
Domain Dominance
BloodHound
Mimikatz
Rubeus
Dengan memahami posisi masing-masing tool dalam siklus serangan, seorang pentester dapat bekerja lebih efektif dan sistematis.
Studi Kasus Sederhana Pentest Active Directory
Misalkan seorang pentester berhasil memperoleh akses ke sebuah workstation domain.
Langkah yang dilakukan biasanya:
Menggunakan PowerView untuk enumerasi domain.
Menjalankan SharpHound untuk mengumpulkan data.
Mengimpor data ke BloodHound.
Menemukan akun yang rentan terhadap Kerberoasting.
Menggunakan Rubeus atau Impacket untuk memperoleh tiket Kerberos.
Melakukan cracking terhadap password service account.
Menggunakan CrackMapExec untuk menguji akses baru.
Menggunakan Mimikatz untuk memperoleh kredensial tambahan.
Melakukan lateral movement ke server lain.
Mencapai Domain Controller dan memperoleh hak Domain Admin.
Proses tersebut merupakan gambaran sederhana bagaimana tool-tool tersebut saling melengkapi dalam sebuah assessment Active Directory.
Membangun Lab Active Directory untuk Belajar
Agar dapat memahami penggunaan tool-tool tersebut, sebaiknya membuat lab pribadi.
Konfigurasi sederhana:
Windows Server 2022 sebagai Domain Controller
Windows 10 atau Windows 11 sebagai Client
Kali Linux sebagai mesin attacker
Tool yang perlu dipasang:
BloodHound
SharpHound
Impacket
CrackMapExec
Mimikatz
Responder
Rubeus
PowerView
Dengan lab pribadi, proses belajar menjadi lebih aman dan terstruktur.
Penutup
Pentest Active Directory tidak hanya tentang menjalankan tool, tetapi juga memahami bagaimana Active Directory bekerja. Namun demikian, penguasaan tool yang tepat dapat mempercepat proses assessment dan membantu menemukan kelemahan yang mungkin terlewatkan.
BloodHound membantu menemukan jalur serangan. SharpHound mengumpulkan data. Impacket dan CrackMapExec digunakan untuk eksploitasi dan otomasi. Mimikatz membantu memperoleh kredensial. Responder menangkap autentikasi jaringan. Rubeus berfokus pada Kerberos. PowerView membantu melakukan enumerasi domain.
Jika Anda baru mulai belajar Active Directory Pentesting, urutan yang direkomendasikan adalah:
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
