So verteidigen Sie sich gegen Active Directory-Angriffe, die keine Spuren hinterlassen
Cyberkriminelle verwenden neue Taktiken und Techniken, um auf neuartige Weise Zugriff auf Active Directory zu erhalten, wodurch ihre Angriffe noch gefährlicher und notwendiger zu erkennen sind. In diesem Artikel werden einige Arten von Angriffen untersucht, die in freier Wildbahn beobachtet wurden und keine erkennbaren Spuren oder zumindest Hinweise auf böswillige Aktivitäten hinterlassen, erklärt Guido Grillenmeier, Chief Technologist, Semperis.
Einer der wichtigsten Bestandteile jeder Cybersicherheitsstrategie ist die Erkennung. Die Fähigkeit, den Angreifer zu erkennen, der in Ihr Netzwerk eindringt, sich bewegt oder schlimmer noch – verwaltet –, ist der Schlüssel zu einer schnellen Reaktion. Und mit der durchschnittlichen Anzahl von Tagen, die ein Angreifer unentdeckt in Ihrem Netzwerk sitzt, liegt bei 146, laut Microsoft, ist es offensichtlich, dass die bösen Jungs sehr gut darin sind, heimlich zu arbeiten.
Wenn es darum geht, potenziell böswillige Aktionen innerhalb von Active Directory (AD) zu erkennen, verlassen sich die meisten Unternehmen auf die Konsolidierung von Domänencontroller-Ereignisprotokollen und SIEM-Lösungen, um anormale Anmeldungen und Änderungen zu erkennen. Das alles funktioniert – solange die Angriffstechnik eine Protokollspur hinterlässt.
Einige Arten von Angriffen wurden in freier Wildbahn beobachtet, die keine erkennbaren Spuren oder zumindest Hinweise auf böswillige Aktivitäten hinterlassen. Einige Beispiele sind:
DCShadow-Angriff
Unter Verwendung der DCShadow-Funktionalität innerhalb des Hacker-Tools Mimikatz nimmt dieser Angriff zunächst den Weg, einen Rogue Domain Controller (DC) zu registrieren, indem die Konfigurationspartition von AD modifiziert wird. Dann nimmt der Angreifer böswillige gefälschte Änderungen vor (z. B. Änderungen an Gruppenmitgliedschaften von Domänen-Admins oder sogar weniger offensichtliche Änderungen wie das Hinzufügen der SID der Gruppe Domänen-Admins zum Attribut sidHistory eines kompromittierten normalen Benutzers). Diese Angriffstechnik umgeht die herkömmliche SIEM-basierte Protokollierung, da der Rogue-DC die Änderungen nicht meldet. Stattdessen werden Änderungen direkt in den Replikationsdatenstrom der Produktionsdomänencontroller eingefügt.
Änderungen der Gruppenrichtlinie
Ein dokumentierter Angriff mit Ryuk-Ransomware führte zu Änderungen an einem Gruppenrichtlinienobjekt, das die Installation von Ryuk an entfernte Endpunkte innerhalb der betroffenen Organisation weiterleitete. Standardmäßig enthalten Ereignisprotokolle keine Details darüber, was in einer Gruppenrichtlinie geändert wurde. Wenn also ein Angreifer eine böswillige Änderung vornimmt (wie im Fall von Ryuk), ist alles, was zu sehen ist, dass ein Konto mit Zugriff auf die Gruppenrichtlinie eine Änderung vorgenommen hat, die wahrscheinlich keinen Alarm auslösen wird.
Zerologon-Angriff
Nachdem ein Proof-of-Concept-Exploit-Code öffentlich veröffentlicht wurde, konnte ein Angreifer mit Netzwerkzugriff auf einen Domänencontroller spezielle Netlogon-Nachrichten senden, die aus Zeichenfolgen mit Nullen bestanden, wodurch das Computerkennwort des Domänencontrollers in eine leere Zeichenfolge geändert wurde. Ohne Anmeldung – also ohne Anmeldung – besitzt der Angreifer nun den Domänencontroller, kann alle Änderungen im AD vornehmen und diesen Pfad weiter verwenden, um andere Systeme in Ihrer Infrastruktur anzugreifen. Es ist unwahrscheinlich, dass Ihre heutigen Überwachungstools auf unerwartete Kennwortänderungen auf Ihren DCs achten.
Es ist kein Zufall, dass diese Angriffe keine Spuren hinterlassen; es ist beabsichtigt. Die Bösewichte verbringen viel Zeit damit, genau zu untersuchen, wie ihre Zielumgebungen funktionieren, und nach Möglichkeiten zu suchen, jede Form der Erkennung zu umgehen, zu verschleiern und zu umgehen – einschließlich der Protokollierung.
Da diese Arten von Angriffen existieren, stellt sich die Frage, was Sie dagegen tun sollten – sowohl proaktiv als auch reaktiv?
Es gibt drei Möglichkeiten, Ihr Unternehmen vor böswilligen AD-Änderungen zu schützen:
Überwachen Sie AD auf schädliche Änderungen: Dies geht über SIEM hinaus und umfasst eine Drittanbieterlösung, die entwickelt wurde, um jede innerhalb von AD vorgenommene Änderung zu sehen – unabhängig davon, wer sie vornimmt, auf welchem DC, mit welcher Lösung usw. – idealerweise durch Lesen und Verstehen des Replikationsverkehrs der DCs selbst. Diese Überwachung muss auch Änderungen innerhalb der Gruppenrichtlinie umfassen. In vielen Fällen können Lösungen zur Überwachung von Änderungen in AD bestimmte geschützte Objekte definieren, die auf Änderungen überwacht werden sollen – beispielsweise Änderungen der Mitgliedschaft bei Domänenadministratoren –, sodass jedes Mal, wenn diese geschützten Objekte geändert werden, Alarm ausgelöst wird. Die Lösung sollte sowohl Änderungen an Gruppenrichtlinien als auch Einblick in die Replikation abdecken.
Suchen Sie nach DCShadow: Mimikatz hinterlässt einige Artefakte und es gibt einige verräterische Anzeichen dafür, dass DCShadow in Ihrem Netzwerk verwendet wurde. Die Überprüfung von AD auf diese Anzeichen muss Teil einer regelmäßigen Überprüfung der AD-Sicherheit sein. Beachten Sie, dass Sie schnell handeln müssen, sobald Sie eine Spur von Mimikatz DCShadow in Ihrer Umgebung finden, da Sie bereits Opfer eines Angriffs sind. An diesem Punkt werden Sie sich wünschen, Sie hätten auch eine Lösung, die Ihnen zeigt, welche Änderungen auf der Replikationsebene vorgenommen wurden, die Sie dann analysieren und im Idealfall rückgängig machen können.
In der Lage sein, AD wiederherzustellen: Ihr Unternehmen benötigt die proaktive Möglichkeit, AD vollständig wiederherzustellen, falls Sie feststellen, dass AD kompromittiert wurde. In einigen Fällen können Sie an Backups und eine DR-Strategie denken, um AD in einem Cyberangriffsszenario wiederherzustellen. Sollten Sie tatsächlich Ihren kompletten AD-Dienst wiederherstellen müssen, möglicherweise als nächstes Opfer eines Malware-Angriffs, beachten Sie, dass ein gutes Domänencontroller-Backup nicht mit einer nahtlosen und schnellen Wiederherstellung des AD-Dienstes gleichzusetzen ist. Sie sollten den gesamten Wiederherstellungsprozess nach dem Ausgiebigen regelmäßig geübt haben Microsoft Leitfaden zur Wiederherstellung der AD-Gesamtstruktur. Aber es ist ebenso wertvoll, nach Lösungen zu suchen, die Änderungen bis auf die Attributebene rückgängig machen oder sogar Änderungen automatisch rückgängig machen können, um Objekte zu schützen, wenn sie erkannt werden.
WEITERLESEN:
- Punktieren Sie die I's und kreuzen Sie die T's: Anforderungen an die Datenverwaltung für den Rechtsbereich
- Hacker zielen auf WLAN-Router zu Hause ab, um Daten zu stehlen
- Datensicherheit und Compliance: Warum Vorbeugen besser ist als Heilen
- 4 einfache Tipps, um den Datenschutz zu gewährleisten
Active Directory ins Visier zu nehmen und es so zu modifizieren, dass es für den Angreifer geeignet ist, ist eine gängige Taktik der heutigen Cyberkriminellen – so sehr, dass das alte Modell, AD-Audit-Ereignisse auf Änderungen zu überwachen, möglicherweise nicht mehr praktikabel ist. Organisationen, die die Sicherheit und Integrität ihres AD ernst nehmen, müssen nach zusätzlichen Möglichkeiten suchen, um Einblick in jede AD-Änderung zu erhalten und bei Bedarf die Möglichkeit zu haben, sie rückgängig zu machen oder wiederherzustellen.
Folge uns auf LinkedIn und Twitter
