Der DCShadow-Angriff nutzt einen Schalter im Dienstprogramm Mimikatz aus, der es privilegierten Benutzern ermöglicht, unbemerkt bösartige Änderungen in Active Directory (AD) vorzunehmen. DCShadow nutzt die native AD-Replikation, um zu vermeiden, dass Ereignisse an die AD-Sicherheitsprotokolle gesendet werden.

DCShadow-Methodik:

  • DCShadow versetzt Angreifer (mit Administratorrechten) in die Lage, einen gefälschten Domänencontroller (DC) zu erstellen, der über normale Replikationsmechanismen schnell Änderungen an legitime DCs verteilen kann.
  • Privilegierte Benutzer erstellen ein temporäres DC-Objekt im Konfigurationsbenennungskontext und halten es dort gerade lange genug (unter 30 Sekunden), um AD-Änderungen in einen bestehenden DC mit Lese- und Schreibzugriff zu übertragen. Von dort aus wird die Replikation durch den legitimen "vertrauenswürdigen" DC ausgelöst
  • Da diese Änderungen auf dem gefälschten DC vorgenommen wurden, gibt es in den Sicherheitsprotokollen keine Aufzeichnungen darüber, was stattgefunden hat - SIEMs sind blind für den bevorstehenden Angriff. Letztendlich bleiben die Bewegungen des Angreifers unkontrolliert und hinterlassen eine anhaltende Bedrohung.

Sehen Sie sich diese Videopräsentation an und erfahren Sie, wie Sie sich gegen diese neue Bedrohung schützen können. Darren Mar-Elia ist seit 14 Jahren Microsoft MVP für Cloud und Datacenter und verfügt über umfangreiche Erfahrungen im Bereich Identitäts- und Zugriffsmanagement. Er war CTO und Gründer von SDM Software, einem Anbieter von Microsoft-Systemmanagementlösungen.