Thomas Leduc

Wie nie zuvor, Active Directory (AD) ist in der Angriffim Fadenkreuz der Angreifer. In diesem Blog werden wir untersuchen, wie Ransomware-Angriffe AD missbrauchen und wie Unternehmen ihre Verteidigungsstrategien weiterentwickeln können, um den Angreifern einen Schritt voraus zu sein.

Zunächst eine kurze Anmerkung zu der kürzlich aufgetretenen Sicherheitslücke zur Privilegienerweiterung, genannt Zerologondie es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf einen Domänencontroller ermöglicht, die Identitätsdienste von Active Directory vollständig zu kompromittieren. Zerologon wurde vom Common Vulnerability Scoring System (CVSS) mit 10 von 10 Punkten für den Schweregrad bewertet und hat ernsthafte Bedenken hinsichtlich der AD-Sicherheit aufgeworfen. Dazu sage ich, dass es höchste Zeit ist. Zerologon ist nur die jüngste von vielen neuen Bedrohungen, die auf AD abzielen. Es ist höchste Zeit, die Sicherheit Ihres ADs zu überprüfen.

Ransomware-Angriffe unter Ausnutzung von Active Directory

Das Geschäft mit der Ransomware boomt.

Im vergangenen Jahr haben gezielte Ransomware-Angriffe auf Regierungsbehörden, Bildungseinrichtungen und Anbieter im Gesundheitswesen die Anforderungen an diejenigen erhöht, die für den Schutz von Organisationen zuständig sind. Ransomware-Angriffe schaden nicht nur dem Geschäft, sondern gefährden auch Gesundheit, Sicherheit und Leben. Und Opfer, die Verhandlungen mit Ransomware-Erpressern erleichtern, könnten von der US-Regierung mit hohen Geldstrafen belegt werden.

In der noch nicht allzu fernen Vergangenheit war Ransomware in erster Linie eine Bedrohung für Verbraucher. Doch heute starten Ransomware-Angreifer ausgeklügelte Kampagnen, die an APT-Angriffe erinnern, bei denen neben der Verschlüsselung von Dateien auch die Aufrechterhaltung der Persistenz, Datendiebstahl und Erpressung als Ziele verfolgt werden.

Anstelle der wahllosen, automatisierten Angriffe, die in der Vergangenheit mit Ransomware in Verbindung gebracht wurden, führen moderne Angreifer von Menschen gesteuerte Ransomware-Kampagnen durch, die Tools wie BloodHound, Mimikatz und PowerSploit nutzen, um nützliche Informationen über die Active Directory-Umgebung zu sammeln, Erkundungen durchzuführen, Anmeldedaten zu stehlen und tiefer in das Netzwerk einzudringen.

Nehmen Sie zum Beispiel die Ransomware Ryuk, die die Sicherheitsgemeinschaft im vergangenen Jahr mit mehreren Angriffskampagnen in Verbindung gebracht hat. Bei vielen dieser gezielten Angriffe war Ryuk die endgültige Nutzlast, aber der Angriff begann mit TrickBot oder Emotet. Diese Malware lud dann wiederum Tools wie Cobalt Strike und PowerShell Empire herunter. Die Bedrohungsakteure begannen dann mit der Erkundung und dem Diebstahl von Anmeldeinformationen. Dazu nutzten sie die Komponente SharpHound in BloodHound, um Informationen über die Active Directory-Umgebung zu sammeln und mögliche Angriffspfade zu ermitteln. Ryuk ist ein Angriff mit einer beunruhigenden Wendung für AD: Die Ransomware wird über AD Group Policy Objects (GPO) an ahnungslose Benutzer verteilt. Bei einem Vorfall, über den die Sicherheitspublikation Dark Reading berichtete, hackten sich die Angreifer über das Remote Desktop Protocol (RDP) in AD-Server ein und fügten Ryuk in das AD-Anmeldeskript ein, wodurch jeder infiziert wurde, der sich bei diesem AD-Server anmeldete.

Leider ist diese Art des Missbrauchs von Active Directory kein Einzelfall bei Ryuk. Böswillige Akteure, die die Ransomware Maze einsetzen, folgen einem ähnlichen Muster, indem sie die Ransomware nach der Kompromittierung einsetzen und Datendiebstahl begehen. Kürzlich wurde die Ransomware mit einem Angriff auf das öffentliche Schulsystem von Fairfax County in Virginia in Verbindung gebracht. In einer Analyse von Maze aus dem Mai 2020 stellten die Forscher von FireEye fest, dass bösartige E-Mails und RDP zu den anfänglichen Methoden der Kompromittierung gehörten und die Angreifer versuchten, Zugang zu mehreren Domänen- und lokalen Systemkonten zu erhalten. Um die Privilegien zu erweitern und Angriffswege zu identifizieren, nutzten die Angreifer häufig die bereits erwähnten Open-Source-Hacking-Tools, um in Active Directory einzudringen. Nach der Datenexfiltration wurde die Ransomware auf verschiedene Weise eingesetzt, einschließlich eines Vorfalls, bei dem der Angreifer ein Domänenadministratorkonto verwendete, um sich anzumelden und mehrere Systeme zu infizieren.

Ein weiteres Beispiel dafür, wie Active Directory ins Visier genommen wird, ist eine Ransomware namens SaveTheQueen, die sich über die SYSVOL-Freigabe auf AD-Domänencontrollern in der gesamten Umgebung ausbreiten kann. Der Zugriff auf die SYSVOL-Freigabe, die zur Bereitstellung von Richtlinien und Anmeldeskripten für Domänenmitglieder verwendet wird, erfordert in der Regel erhöhte Berechtigungen und deutet auf eine ernsthafte AD-Kompromittierung hin.

Risikominimierung für Active Directory

Das erhöhte Risiko, das Ransomware für Active Directory darstellt, bedeutet, dass Unternehmen ihr Augenmerk verstärkt auf AD-Sicherheit und -Wiederherstellung richten müssen. Nach der Kompromittierung ist Zerologon genau die Art von Schwachstelle, die Angreifer nutzen könnten, um AD zu kompromittieren und zur Verbreitung von Malware zu nutzen. Der erste Schritt besteht darin, die Angriffsfläche zu reduzieren. Durch die Implementierung einer effektiven Netzwerksegmentierung, der Einteilung von Administratoren und des Prinzips der geringsten Privilegien, um den Zugriff einzuschränken, werden die Schwierigkeiten für Eindringlinge erhöht. Durch die Einführung von Best Practices und die Beseitigung ungepatchter Systeme können Unternehmen die ansonsten niedrig hängenden Früchte aus der Reichweite von Angreifern entfernen.

Bei der Untersuchung der oben genannten Angriffe gibt es einige zusätzliche Schritte, die Unternehmen unternehmen können. Die veränderte Taktik der Ransomware-Betreiber erinnert daran, wie wichtig eine gründliche Verteidigung ist. Anti-Malware-Funktionen auf Endgeräten sind nach wie vor unerlässlich, um Infektionen zu stoppen. Darüber hinaus sollte das unerlaubte Vorhandensein von ansonsten legitimen Pen-Testing-Tools wie BloodHound einen Alarm auslösen, dass etwas nicht stimmt, ebenso wie eine beträchtliche Anzahl von fehlgeschlagenen Anmeldeversuchen bei Remote Desktop.

Die Verstärkung des Schutzes bedeutet auch, dass es schwieriger wird, Active Directory zu missbrauchen, was eine Überwachung von AD auf nicht autorisierte Änderungen erfordert. Die Lösungen von Semperis bieten eine kontinuierliche Überwachung und Schwachstellenbewertung für AD sowie die Möglichkeit, nicht autorisierte Änderungen ohne Zutun des Administrators rückgängig zu machen. Wenn beispielsweise ein Benutzer auf verdächtige Weise zu einer privilegierten Gruppe hinzugefügt wird, wird diese Änderung erkannt und automatisch rückgängig gemacht, um möglichen Schaden zu verhindern. Diese Art der kontinuierlichen Überwachung muss sich auch auf Ereignisprotokolle erstrecken, da viele Angreifer das Sicherheitsereignisprotokoll löschen, um Spuren ihrer Aktivitäten zu beseitigen.

Im Hinblick auf die Wiederherstellung von Active Directory müssen Unternehmen ihre Reaktionspläne so anpassen, dass sie auch auf Ransomware-Angriffe vorbereitet sind. In diesem Szenario kann jedes System, das mit dem Netzwerk verbunden ist, betroffen sein. Zur Vorbereitung sollten Backups auf einem nicht mit der Domäne verbundenen Server und außerhalb des Unternehmens gespeichert werden. Überraschenderweise haben viele Unternehmen noch nicht einmal ihre Pläne zur Wiederherstellung von AD-Cyber-Desaster getestet. Laut unserer Umfrage 2020 unter führenden Vertretern des Bereichs Identitätssicherung gaben 21 % der Befragten an, dass sie überhaupt keinen Plan haben. Diese Entdeckung ist alarmierend angesichts der Zunahme von Ransomware-Angriffen und der weitreichenden Auswirkungen eines AD-Ausfalls. Eine unzureichende Vorbereitung erhöht die mit einem Ransomware-Angriff verbundenen Ausfallzeiten und Kosten.

Es ist unmöglich, jeden Angriff abzuwehren, zumal Remote-Arbeitskräfte die Angriffsfläche schnell vergrößern. Aber Sie können kontrollieren, wie widerstandsfähig Sie sind. Ihr Geschäft hängt davon ab.