Huy Kha | Senior Architekt für Identität und Sicherheit

Policy eine zentrale Funktion für die Konfiguration und Zugriffsverwaltung im Windows-Ökosystem. Der Umfang und die Kontrollmöglichkeiten, die Policy (GPOs) in Active Directory bieten, machen Policy zu einer beliebten Methode für Angreifer, die in Ihrer Umgebung Fuß fassen oder ihre Position dort festigen wollen. Hier erfahren Sie, was Sie über Policy in Active Directory wissen müssen.

Was versteht man unter Policy ?

In Active-Directory-Umgebungen verwenden Sie GPOs, um Policy anzuwenden, was die einheitliche Umsetzung von policy vereinfacht. GPOs steuern eine Vielzahl von Einstellungen, wie beispielsweise Sicherheitsrichtlinien, Softwareinstallationen, Passwortanforderungen, Desktop-Konfigurationen und vieles mehr. Wenn Angreifer Zugriff auf GPOs erlangen, die mit wichtigen Teilen der Domäne verknüpft sind, können sie Ransomware oder andere schädliche Software auf mehreren Systemen verbreiten. Policy von Gruppenrichtlinien kann es Angreifern zudem ermöglichen, Sicherheitseinstellungen zu deaktivieren oder Hintertüren zu schaffen, um sich den Zugriff zu sichern.

Nehmen wir zum Beispiel an, dass ein Angreifer ein Konto mit Schreibberechtigung für ein GPO kompromittiert hat, das mit dem Domain Naming Context(Abbildung 1) verknüpft ist.

Abbildung 1. EvilUser hat Schreibrechte für das PowerShell Logging GPO, was nicht autorisierte Änderungen ermöglicht.

Mit diesem Zugriff kann der Angreifer ein Tool Policy wie SharpGPOAbuse nutzen, um die PowerShell-Protokollierungsrichtlinie zu ändern und eine geplante Aufgabe zu starten, die unter dem Account „NT AUTHORITY\SYSTEM“ ausgeführt wird, um Malware auf mehrere Computer innerhalb der Domäne zu verbreiten (Abbildung 2).

Abbildung 2. Der Angreifer verwendet SharpGPOAbuse, um das PowerShell Logging GPO zu ändern und eine geplante Aufgabe hinzuzufügen, die als NT AUTHORITY\SYSTEM ausgeführt wird, um Malware im Netzwerk zu verteilen.

Sobald die GPO-Einstellungen angewendet wurden, läuft die Malware auf dem Rechner als NT AUTHORITY\SYSTEM(Abbildung 3).

Abbildung 3. Der bösartige Prozess updater.exe wird als NT AUTHORITY\SYSTEM ausgeführt, nachdem er über das modifizierte GPO bereitgestellt wurde.

Wie können Sie Policy erkennen und sich dagegen schützen?

Um sich vor Policy zu schützen, können Sie das kostenlose Purple Knight verwenden, um nach Skripten oder ausführbaren Dateien zu suchen, die über eine Gruppenrichtlinie erstellt und als geplante Aufgaben festgelegt wurden (Abbildung 4). Überprüfen Sie diese identifizierten Aufgaben, um festzustellen, ob die Aktivität legitim oder verdächtig ist.

Abbildung 4. Purple Knight kennzeichnet GPOs, für die geplante Aufgaben konfiguriert sind, und weist auf potenzielle Sicherheitsrisiken hin.

Semperis Directory Services Protector (DSP) enthält auch einen Indikator für die Gefährdung (IOE), der Active Directory kontinuierlich überwacht und alle Änderungen an GPOs innerhalb der Domäne erkennt(Abbildung 5). Sie können in DSP auch automatische Warnungen konfigurieren, um Sie über Änderungen an GPOs mit einem hohen Missbrauchsrisiko zu informieren.

Abbildung 5. Semperis DSP kann Änderungen an GPO-Verknüpfungen sowohl auf der AD-Site- als auch auf der Domänenebene erkennen.

Für eine detaillierte Analyse können DSP Änderungen an GPOs überprüfen und jedes geänderte GPO mit seinem vorherigen Zustand vergleichen(Abbildung 6). Verdächtige Änderungen können rückgängig gemacht werden, so dass das GPO auf eine frühere, als gut bekannte Version zurückgesetzt wird.

Abbildung 6. Semperis DSP ermöglicht die Überprüfung bestimmter GPO-Änderungen mit der Option, die Änderungen nebeneinander zu vergleichen oder nur die Unterschiede zu früheren Versionen anzuzeigen.

Profile von Bedrohungsakteuren

Es ist bekannt, dass die folgenden Angreifer Policy nutzen, um Schadsoftware zu verbreiten:

  • BlackCat (MITRE ATT&CK Software 1068)1
  • LockBit2
  • Sandworm Team aka ELECTRUM, Telebots, IRON VIKING, BlackEnergy, Quedagh, Voodoo Bear, IRIDIUM, Seashell Blizzard, FROZENBARENTS, APT44 (MITRE ATT&CK Group G0034)3
  • Sturm-05014
  • Vanille-Sturm5

Tools Policy Gruppenrichtlinien

Das folgende Tool, das auf github.com verfügbar ist, kann in Szenarien Policy verwendet werden:

  • FSecureLABS/SharpGPOAbuse

Überblick über die Bedrohung

ATT&CK-Taktiken: Verteidigungsumgehung, Privilegien-Eskalation

Am 11. Februar 2025 berichtete das taiwanesische Ministerium für Gesundheit und Soziales (MOHW), dass das Mackay Memorial Hospital in Taipeh am 9. Februar 2025 Opfer eines Angriffs mit der Ransomware „CrazyHunter“ geworden sei, die möglicherweise aus Russland stamme. Die Ransomware, die wahrscheinlich durch Policy von Policy (GPOs) verbreitet wurde, verschlüsselte Krankenhausdateien und legte mehr als 500 Computer in der Notaufnahme und den Ambulanzen lahm. Zwei Tage später wurde mit einem zweiten Angriff gedroht.6

Am 26. September 2024 meldete Microsoft, dass die Ransomware-Gruppe STORM-0501 kompromittierte Domain Admin-Konten nutzte, um die Ransomware Embargo über Netzwerke zu verteilen. Die Angreifer verteilten die Ransomware über GPOs, indem sie eine geplante Aufgabe namens "SysUpdate" erstellten, die die Ransomware auf Geräten im Netzwerk ausführte.7

Am 7. April 2023 berichtete Microsoft, dass die Gruppe STORM-1084 (früher bekannt als DEV-1084) bei zerstörerischen Angriffen auf hybride Umgebungen Policy nutzte. Nach dem Zugriff deaktivierte die Gruppe Sicherheitsmaßnahmen über GPO und platzierte Ransomware im NETLOGON-Share auf Domänencontrollern. Anschließend nutzten die Angreifer GPOs, um geplante Aufgaben zu erstellen, die die Ransomware im gesamten Netzwerk ausführten, Dateien verschlüsselten und eine Lösegeldforderung hinterließen.8

Am 16. März 2023 berichtete die CISA , dass die Ransomware-Bande „LockBit 3.0“ Policy nutzte, um Ransomware über Netzwerke zu verbreiten. Durch die Änderung von Gruppenrichtlinienobjekten (GPOs) gelang es den Angreifern, die Malware auf mehrere Rechner gleichzeitig zu übertragen. Auf diese Weise konnten sie die Infektion effizient verbreiten und die Kontrolle über die Systeme übernehmen.9

Am 25. Oktober 2022 meldete Microsoft, dass die Vanilla Tempest-Gruppe (ehemals DEV-0832) Ransomware-Nutzdaten oft in versteckten Freigaben auf Windows-Systemen ablegt und Namen mit einem "$" verwendet, um sie zu verbergen. Nachdem sie die Daten gestohlen haben, verwenden die Angreifer wahrscheinlich GPOs, um die Ransomware über lokale Geräte zu verteilen. Diese Methode ermöglichte es ihnen, Ransomware wie Zeppelin und BlackCat effizient über das Netzwerk zu verbreiten, wobei sie oft auf Bereiche wie das Bildungswesen abzielten.10

Am 14. Oktober 2022 berichtete Microsoft, dass die Gruppe „Seashell Blizzard“ (ehemals „IRIDIUM“) Policy nutzte, um die Ransomware „Prestige“ im Rahmen koordinierter Angriffe auf Organisationen in der Ukraine und in Polen zu verbreiten. Nachdem sie sich Zugriff als Domänenadministrator verschafft hatten, verbreiteten die Angreifer die Ransomware, indem sie die Schadcode-Datei über die Freigabe „ADMIN$“ oder mittels Gruppenrichtlinienobjekten (GPOs) auf die Systeme kopierten. Diese Methode ermöglichte es den Angreifern, die Ransomware innerhalb einer Stunde im gesamten Netzwerk auszuführen.11

Laut einem Mandiant-Bericht aus dem Jahr 2023 setzte die APT-Gruppe „Sandworm“ am 10. und 12. Oktober 2022 während des andauernden Konflikts CADDYWIPER ein, um Daten in ukrainischen Netzwerken zu vernichten. Der Wiper wurde über zwei GPOs von einem domain controller eingesetzt, wobei ein PowerShell-Tool namens TANKTRAP verwendet wurde. Diese Methode ermöglichte es dem Wiper, sich über mehrere Systeme zu verbreiten, indem die Malware kopiert und so geplant wurde, dass sie zu einem bestimmten Zeitpunkt ausgeführt wurde.12

Am 19. April 2022 berichtete das FBI, dass die BlackCat-Ransomware-Bande Policy nutzte, um Ransomware in kompromittierten Netzwerken zu verbreiten. Nachdem sie sich mithilfe gestohlener Anmeldedaten einen ersten Zugriff verschafft hatten, nutzten sie den Windows-Aufgabenplaner und bösartige Gruppenrichtlinienobjekte (GPOs), um die Ransomware auf mehrere Rechner zu verbreiten.13

Semperis Schnappschuss

Policy liegt vor, wenn Angreifer die Kontrolle über GPOs erlangen, um Malware zu verbreiten, Sicherheitseinstellungen zu deaktivieren oder Systemkonfigurationen zu manipulieren. Da sie in der Lage sind, schädliche Software wie Ransomware auf mehrere Systeme innerhalb einer Domäne zu übertragen, können Angreifer Netzwerke schnell unter ihre Kontrolle bringen und weitreichende Schäden verursachen. Da GPOs für die Netzwerkverwaltung als vertrauenswürdig gelten, kann diese Art von Angriff allein anhand der Windows-Sicherheitsereignisprotokolle nur schwer erkannt werden. Um Policy zu verhindern, ist eine sorgfältige Überwachung von GPO-Änderungen, die Einschränkung von Berechtigungen sowie die regelmäßige Überprüfung der Konfigurationen erforderlich.

Zusätzliche Ressourcen

Endnoten

  1. https://attack.mitre.org/software/S1068/
  2. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a
  3. https://attack.mitre.org/groups/G0034/
  4. https://malpedia.caad.fkie.fraunhofer.de/actor/storm-0501
  5. https://malpedia.caad.fkie.fraunhofer.de/actor/vanilla_tempest
  6. https://www.ithome.com.tw/news/167327
  7. https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/
  8. https://www.microsoft.com/en-us/security/blog/2023/04/07/mercury-and-dev-1084-destructive-attack-on-hybrid-environment/
  9. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a
  10. https://www.microsoft.com/en-us/security/blog/2022/10/25/dev-0832-vice-society-opportunistic-ransomware-campaigns-impacting-us-education-sector/
  11. https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/
  12. https://cloud.google.com/blog/topics/threat-intelligence/sandworm-disrupts-power-ukraine-operational-technology/
  13. https://www.semperis.com/blog/combatting-a-blackcat-ransomware-active-directory-attack/