Cyberkriminelle nutzen neue Taktiken und Techniken, um sich auf neuartige Weise Zugang zu Active Directory zu verschaffen. neuartigen Dadurch werden ihre Angriffe noch gefährlicher - und es ist noch schwieriger, sie zu erkennen.
Einer der wichtigsten Bestandteile jeder Cybersicherheitsstrategie ist die Erkennung. Die Fähigkeit, einen Bösewicht zu erkennen, der eindringt, sich bewegt oder - schlimmer noch-Verwaltung-zu erkennen, ist der Schlüssel zu einer raschen Reaktion. Und mit dem Median Anzahl der Tage, die ein Angreifer unentdeckt in Ihrem Netzwerk verbringt, bei 146laut Microsoft, ist es offensichtlich, dass die bösen Jungs sehr gut sehr gut darin sind, im Verborgenen zu arbeiten.
Wenn es darum geht, potenziell böswillige Aktionen innerhalb von Active Directory (AD) zu erkennen, stützen sich die meisten Unternehmen auf die Konsolidierung Domain Controller sowie auf SIEM-Lösungen, um ungewöhnliche Anmeldungen und Änderungen zu erkennen. All dies funktioniert—solange die Angriffstechnik eine Protokollspur hinterlässt.
In der freien Wildbahn wurden einige Arten von Angriffen beobachtet, die keine erkennbaren Spuren hinterlassen oder zumindest, keine Beweise von bösartige Aktivität hinterlassen. Einige Beispiele umfassen:
- DCShadow aAngriff: Nutzung der DCShadow-Funktionalität innerhalb des Hacker-Tools Mimikatz, tdieser Angriff verfolgt verläuft zunächst über die Registrierung eines betrügerischen domain controller DC) durch Änderung der Konfigurationspartition von AD. Anschließend nimmt der Angreifer böswillige, gefälschte Änderungen vor (z. B. Änderungen an der Gruppenmitgliedschaft von Domain-Administratorenoder sogar weniger offensichtliche Änderungen, wie das Hinzufügen der SID der Gruppe „Domain Admins“ zu sidHistory sidHistory eines kompromittierten normalen Benutzers). Diese Angriffstechnik umgeht die herkömmliche SIEM-basierte Protokollierung, da der betrügerische DC die Änderungen nicht meldet.stattdessenwerden die Änderungen direkt in den Replikationsstromder Produktions-Domänencontroller.
- Gruppenrichtlinie Policy ÄnderungenÄnderungen: Ein dokumentierter Angriff unter Einbeziehung von Ryuk Ransomware führte dazu, dass Änderungen an einer Group P, das die Installation von Ryuk auf entfernte Endpunkte innerhalb der betroffenen Organisation veranlasste. Standardmäßig enthalten Ereignisprotokolle keine Details darüber, was innerhalb eines GGruppe PRichtlinie. Wenn also ein Angreifer eine böswillige Änderung vornimmt (wie im Fall von Ryuk), ist lediglich , dass ein Konto mit Zugriff auf die Policy eine Änderung Policy , was wahrscheinlich keinen Alarm auslösen wird.
- Nulllogon attack: Anach einem Beweis–eines–ein Proof-of-Concept-Exploit-Code wurde öffentlich, ein Angreifer mit Netzwerkzugriff auf einen domain controller konnte spezielle Netlogon- zu senden bestehend aus Nullzeichenfolgen, wodurch das Passwort domain controller in eine leere Zeichenfolge. Also, ohne jegliche Anmeldung—d. h., ohne jegliche Anmeldung—hat der Angreifer nun besitzts den domain controller, kann beliebige Änderungen in AD, und kann diesen Pfad nutzen, um andere Systeme in Ihrer Infrastruktur anzugreifen. Es EsEs ist unwahrscheinlich, dass Ihre Überwachungstools heute auf unerwartete Passwortänderungen auf Ihren DCs.
Es Es ist kein Zufall, dass diese Angriffe keine Spuren hinterlassen; es ist Absicht. Die Bösewichte verbringen sehr viel Zeit damit, genau zu untersuchen, wie ihre Zielumgebungen funktionieren und und suchen nach Möglichkeiten, jede Form der Erkennung zu umgehen, zu verschleiern und zu umgehen.ion -und dazu gehört auch die Protokollierung.
Da diese Art von Angriffen existiert, stellt sich die Frage, was Sie dagegen tun sollten-sowohl proaktiv als auch reaktiv?
Schutz vor böswilligen Active Directory-Änderungen
Es gibt drei Möglichkeiten, Ihr Unternehmen vor böswilligen AD-Änderungen zu schützen:
- AD überwachen auf malicious ÄÄnderungen:dies geht über SIEM hinaus und umfasst eine Drittanbieter-LösungLösung eines Drittanbieters, die darauf ausgelegt ist, jede innerhalb von AD vorgenommene Änderung zu erfassen – unabhängig davon, wer sie vornimmt, auf welchem DC, mit welcher Lösung usw.–idealerweise durch Auswertung des Replikationsverkehrs der DCs selbst. Diese Überwachung muss Policy Änderungen innerhalb Policy umfassen. In vielen Fällen können Lösungen, die zur Überwachung von Änderungen in AD entwickelt wurden, spezifische geschützte Objekte definieren, die auf jegliche Änderung—zum BeispielÄnderungen Änderungen bei der Mitgliedschaft in der Gruppe „Domänenadministratoren“—damit jeder jedes Mal, wenn diese geschützte Objekte geändert werden, werden tatsächlich Alarme ausgelöst. Die Lösung sollte sowohl sowohl Änderungen an Gruppenrichtlinien als auch die Transparenz der Replikation abdecken.
- Suchen Sie nach DCShadow: Mimikatz hinterlässt einige Artefakte und es gibt einige verräterische Anzeichen dafür, dass DCShadow in Ihrem Netzwerk verwendet wurde. Die Überprüfung des AD auf diese Anzeichen muss Teil einer regelmäßigen Überprüfung der AD-Sicherheit sein. Beachten Sie, dass Sie, sobald Sie eine Spur von Mimikatz DCShadow in Ihrer Umgebung finden, schnell handeln müssen, da Sie dann bereits Opfer eines Angriffs geworden sind. Zu diesem Zeitpunkt werden Sie sich wünschen, eine Lösung zu haben, die Ihnen zeigt, welche Änderungen auf der Replikationsebene vorgenommen wurden, die Sie dann analysieren und im Idealfall rückgängig machen können.
- Seien Sie einmöglich in der Lage wAD wiederherstellen: Ihre Organisation benötigt die proaktive Fähigkeit, das gesamte AD wiederherzustellen, sollte Sie feststellen, dass das AD kompromittiert wurde. In einigen Fällen können Sie im Hinblick auf Backups und eine DR-Strategie zur Wiederherstellung des AD im Falle eines Cyberangriffs planen. Sollten Sie tatsächlich Ihren gesamten AD-Dienst wiederherstellen müssen, möglicherweise als nächstes Opfer eines Malware-Angriffs, beachten Sie, dass ein guter domain controller Sicherung nicht gleichbedeutend ist mit einer nahtlosen und schnellen Wiederherstellung des AD-Dienstes. Sie sollten den gesamten Wiederherstellungsprozess regelmäßig nach den ausführlichen Microsoft AD-Gesamtstruktur RWiederherstellung GLeitfaden. Es ist jedoch ebenso wertvoll, nach Lösungen zu suchen, die Änderungen bis auf die Attributebene rückgängig machen oder sogar automatisch rückgängig machen können, umObjekte Objekte, sobald diese erkannt werden.
Anvisieren von Active Directory und es so zu verändern, dass es dem Angreifer passt, ist eine gängige Taktik der heutigen Cyberkriminellen-so sehr, dass das alte Modell der Überwachung von AD Audit Ereigniss auf Änderungen möglicherweise nicht mehr durchführbar sein. Organisationen die es ernst meinen die Sicherheit und Integrität ihrer AD ernst nehmen, müssen nach zusätzlichen Möglichkeiten suchen, um Einblick in jede AD-Änderung zu erhalten und über die und die Möglichkeit haben, diese bei Bedarf rückgängig zu machen oder wiederherzustellen.
