Cyberkriminelle nutzen neue Taktiken und Techniken, um sich auf neuartige Weise Zugang zu Active Directory zu verschaffen. neuartigen Dadurch werden ihre Angriffe noch gefährlicher - und es ist noch schwieriger, sie zu erkennen.
Einer der wichtigsten Bestandteile jeder Cybersicherheitsstrategie ist die Erkennung. Die Fähigkeit, einen Bösewicht zu erkennen, der eindringt, sich bewegt oder - schlimmer noch-Verwaltung-zu erkennen, ist der Schlüssel zu einer raschen Reaktion. Und mit dem Median Anzahl der Tage, die ein Angreifer unentdeckt in Ihrem Netzwerk verbringt, bei 146laut Microsoft, ist es offensichtlich, dass die bösen Jungs sehr gut sehr gut darin sind, im Verborgenen zu arbeiten.
Wenn es darum geht, potenziell bösartige Aktionen innerhalb von Active Directory (AD) zu erkennen, verlassen sich die meisten Unternehmen auf die Konsolidierung von Ereignisprotokollen von Domain Controllern und SIEM-Lösungen, um abnormale Anmeldungen und Änderungen zu erkennen. Das alles funktioniert-solange die Angriffstechnik eine Protokollspur hinterlässt.
In der freien Wildbahn wurden einige Arten von Angriffen beobachtet, die keine erkennbaren Spuren hinterlassen oder zumindest, keine Beweise von bösartige Aktivität hinterlassen. Einige Beispiele umfassen:
- DCShadow attack: Verwendung der DCShadow-Funktionalität innerhalb des Hacker-Tools Mimikatz, tdieser Angriff zunächst den Weg der Registrierung eines betrügerischen Domänencontrollers (DC), indem er die Konfigurationspartition von AD modifiziert. Dann nimmt der Angreifer böswillige gefälschte Änderungen vor (z.B. Änderungen an Gruppenmitgliedschaften von Domain Admins, oder sogar weniger offensichtliche Änderungen wie das Hinzufügen der SID der Gruppe Domain Admins zur der sidHistory Attribut eines kompromittierten normalen Benutzers). Diese Angriffstechnik umgeht die traditionelle SIEM-basierte Protokollierung, da der bösartige DC die Änderungen nicht meldet. Instattdessenwerden die Änderungen direkt in den Replikationsstrom derder Produktions-Domänencontroller.
- Gruppenrichtlinie cänderungen: Ein dokumentierter Angriff mit Ryuk Ransomware führte dazu, dass Änderungen an einem Group Policy-Objekt vorgenommen, die die Installation von Ryuk auf entfernte Endpunkte innerhalb der Opferorganisation verbreitet. Standardmäßig, Ereignisprotokolle keine Details zu den Änderungen innerhalb von a Group Policy. Wenn also ein Angreifer eine böswillige Änderung vornimmt (wie im Fall von Ryuk), ist alles, was wir sehen, dass dass ein Konto mit Zugriff auf die Gruppenrichtlinie eine Änderung vorgenommen hat, was wahrscheinlich keinen Alarm auslösen wird.
- Nulllogon attack: Aach einem Beweis-von-Konzept-Exploit-Code wurde veröffentlicht öffentlich, ein Angreifer mit Netzwerkzugriff auf einen Domänencontroller war in der Lage spezielle Netlogon Nachrichten bestehend aus aus Zeichenfolgen aus Nullen, das Kennwort des Domänencontroller-Computers zwingen zu ändern in eine leere Zeichenfolge. Also, ohne jegliche Anmeldung-d.h.., mit Null-Anmeldung-der Angreifer nun besitzens den Domänencontrollerund kann alle Änderungen in AD vornehmen, und kann diesen Weg weiter nutzen, um andere Systeme in Ihrer Infrastruktur anzugreifen. Es is ist unwahrscheinlich, dass Ihre Überwachungstools heute auf Folgendes achten unerwartete Passwortänderungen auf Ihren DCs.
Es Es ist kein Zufall, dass diese Angriffe keine Spuren hinterlassen; es ist Absicht. Die Bösewichte verbringen sehr viel Zeit damit, genau zu untersuchen, wie ihre Zielumgebungen funktionieren und und suchen nach Möglichkeiten, jede Form der Erkennung zu umgehen, zu verschleiern und zu umgehen.ion -und dazu gehört auch die Protokollierung.
Da diese Art von Angriffen existiert, stellt sich die Frage, was Sie dagegen tun sollten-sowohl proaktiv als auch reaktiv?
Schutz vor böswilligen Active Directory-Änderungen
Es gibt drei Möglichkeiten, Ihr Unternehmen vor böswilligen AD-Änderungen zu schützen:
- AD überwachen für malicious cänderungen: Ties geht über SIEM hinaus und beinhaltet eine dritte-Lösung eines Drittanbieters, die jede Änderung innerhalb von AD erkennt - unabhängig davon, wer sie vornimmt, auf welchem DC, mit welcher Lösung usw.-idealerweise durch Lesen und Verstehen den Replikationsverkehr der DCs selbst. Diese Überwachung muss auch Änderungen innerhalb der Gruppenrichtlinien umfassen. In vielen Fällen können Lösungen, die für die Überwachung von Änderungen in AD entwickelt wurden, bestimmte geschützte Objekte definieren, die auf jede Änderung überwacht werden sollen-zum Beispiel, Änderungen der Mitgliedschaft bei Domain Admins-so dass jedes Mal wenn diese geschützten Objekte geändert werden, Alarme ausgelöst werden. Die Lösung sollte abdecken. sowohl Änderungen an Gruppenrichtlinien als auch die Sichtbarkeit der Replikation abdecken.
- Suchen Sie nach DCShadow: Mimikatz hinterlässt einige Artefakte und es gibt einige verräterische Anzeichen dafür, dass DCShadow in Ihrem Netzwerk verwendet wurde. Die Überprüfung des AD auf diese Anzeichen muss Teil einer regelmäßigen Überprüfung der AD-Sicherheit sein. Beachten Sie, dass Sie, sobald Sie eine Spur von Mimikatz DCShadow in Ihrer Umgebung finden, schnell handeln müssen, da Sie dann bereits Opfer eines Angriffs geworden sind. Zu diesem Zeitpunkt werden Sie sich wünschen, eine Lösung zu haben, die Ihnen zeigt, welche Änderungen auf der Replikationsebene vorgenommen wurden, die Sie dann analysieren und im Idealfall rückgängig machen können.
- Seien Sie able zu recover AD: Ihr Unternehmen braucht die proaktive Fähigkeit zur Wiederherstellung von AD, falls Sie feststellen, dass AD kompromittiert wurde. In einigen Fällen können Sie an Backups und eine DR-Strategie denken, um AD in einem Cyberangriffsszenario wiederherzustellen. Sollten Sie tatsächlich Ihren kompletten AD-Dienst wiederherstellen müssen, möglicherweise als nächstes Opfer eines Malware-Angriffs, sollten Sie beachten, dass ein guter Domänencontroller Backup nicht gleichbedeutend ist mit einer nahtlosen und schnellen Wiederherstellung des AD-Dienstes. Sie sollten den gesamten Wiederherstellungsprozess regelmäßig geübt haben regelmäßig geübt haben, indem Sie die reichlich Microsoft AD-Wald Recovery Guide. Aber es ist ebenso wertvoll, nach Lösungen zu suchen, die Änderungen bis hinunter zur Attributsebene rückgängig machen oder sogar automatisch Änderungen rückgängig machen können, um diet Objekten rückgängig machen können, wenn sie entdeckt werden.
Anvisieren von Active Directory und es so zu verändern, dass es dem Angreifer passt, ist eine gängige Taktik der heutigen Cyberkriminellen-so sehr, dass das alte Modell der Überwachung von AD Audit Ereigniss auf Änderungen möglicherweise nicht mehr durchführbar sein. Organisationen die es ernst meinen die Sicherheit und Integrität ihrer AD ernst nehmen, müssen nach zusätzlichen Möglichkeiten suchen, um Einblick in jede AD-Änderung zu erhalten und über die und die Möglichkeit haben, diese bei Bedarf rückgängig zu machen oder wiederherzustellen.