Ein Plan zur Wiederherstellung von Active Directory (AD) sollte für Ihren Plan zur Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR ) eine Priorität sein. Schließlich leben wir in einer föderierten Welt mit hybriden Identitäten, Zero-Touch-Login und verteilter Arbeit. In dieser digitalen Landschaft ist alles miteinander verbunden. Für die meisten Unternehmen ist AD das Herzstück der Authentifizierung von Mitarbeitern, damit diese global verbundene Anwendungen und Dienste nutzen können. Wenn AD nicht sicher ist, ist nichts sicher.
Jedes Unternehmen würde lieber einen AD-Angriff verhindern, als sich von einem Angriff zu erholen. Dennoch sind viele versuchte AD-Angriffe erfolgreich. Einem Bericht von Enterprise Management Associates zufolge waren 50 % der Unternehmen in den letzten ein bis zwei Jahren von einem AD-Angriff betroffen, und mehr als 40 % gaben an, dass der AD-Angriff erfolgreich war. Eine weitere ernüchternde Zahl aus diesem Bericht: Penetrationstester berichteten, dass sie in 82% der Fälle AD-Sicherheitslücken erfolgreich ausnutzen konnten.
Laden Sie noch heute Ihren kostenlosen Evaluating ITDR Survey Report herunter.
Die Sicherung von AD ist wichtig, aber die Fähigkeit, AD nach einem Cyberangriff erfolgreich wiederherzustellen - die "Reaktionskomponente" von ITDR - ist angesichts der Verbreitung ausgeklügelter Angriffe, die auf AD abzielen, von entscheidender Bedeutung. Lassen Sie uns einen Blick auf die Hintergründe von AD als bevorzugtem Angriffsvektor für Cyberkriminelle werfen und ein reales Szenario betrachten, das den komplexen Prozess der Wiederherstellung von Active Directory veranschaulicht.
Warum Sie einen Plan für die Wiederherstellung von Active Directory benötigen
Leider ist Active Directory oft das schwache Glied in der Kette der Identitätssicherheit. Das Problem ist nicht das AD selbst. Wenn es richtig konfiguriert und eingesetzt wird, kann AD unglaublich vielseitig sein. Leider kann AD auf so viele Arten falsch konfiguriert werden, wie es eingesetzt wird.
Und die Angreifer wissen das. Aus diesem Grund waren 90 % der von der Cybersecurity-Beratungsfirma Mandiant untersuchten Angriffe in irgendeiner Form mit AD verbunden. In diesen Fällen war AD der ursprüngliche Angriffsvektor, es wurde gezielt eingesetzt, um Persistenz zu erreichen, oder es wurde verwendet, um Privilegien zu erlangen und laterale Bewegungen durch das Netzwerk zu ermöglichen.
Das Problem ist ein zweifaches:
- Erstens: Systembedingte Schwächen in AD machen es zu einem weichen Ziel. Da die Cloud-Identität von AD ausgeht, ist sie ein bevorzugtes Ziel für den Missbrauch von Anmeldeinformationen - eine Taktik, die bei 80 % aller Datenschutzverletzungen angewendet wird.
- Zweitens hat das Null-Vertrauensmodell für den Netzwerkzugang einen Fehler: Es geht implizit davon aus, dass die Systeme, auf die es angewendet wird, einschließlich AD, ihre Integrität bewahren.
Aus diesen Gründen ist AD häufig ein Hauptbestandteil der Kill Chain von Cyberangriffen. Bedrohungsakteure nutzen AD, um alles von Persistenztechniken über Privilegienerweiterung bis hin zur Umgehung der Verteidigung zu ermöglichen.
Ein realistisches Worst-Case-Szenario
Wir haben kürzlich aus erster Hand erfahren, wie viel Schaden Bedrohungsakteure durch eine kompromittierte Instanz von Active Directory anrichten können.
Einer unserer Partner in EMEA kontaktierte uns Anfang Januar. Ein kritischer Infrastrukturkunde im Nahen Osten war kompromittiert worden. Unser Partner war gerade dabei, eine EDR-Installation (Endpoint Detection and Response) durchzuführen, als er Malware auf den Domänencontrollern des Kunden entdeckte. Nicht nur, dass sich verschiedene Clients und Server bereits unter der Kontrolle der Eindringlinge befanden, auch der AD-Forest war vollständig kompromittiert und wurde von den Bösewichten kontrolliert.
Also riefen sie uns an.
Um dem Opfer zu helfen, zu überleben, war eine koordinierte und gut orchestrierte Abriegelungs- und Wiederherstellungsaktion zwischen dem Kunden und Semperis erforderlich. Als erstes haben wir mit unserem Tool Active Directory Forest Recovery ( ADFR) ein Sicherheitsnetz geschaffen. Wir begannen damit, ein Backup des AD des Kunden zu erstellen, das vom Betriebssystem entkoppelt war. So konnten wir böse Überraschungen wie Rootkits und in das Betriebssystem des Kunden eingebettete Backdoors vermeiden.
Zu diesem Zweck haben wir auch alles unter Quarantäne gestellt, was sich in den Gruppenrichtlinien befindet. Damit haben wir bösartige Taktiken unterbunden, die Skript-Injektionen wie die Ryuk-Ransomware nutzen. Außerdem haben wir uns an die Microsoft Forest Recovery Guidance gehalten. Wir haben das Kerberos-Ticket zweimal ausgetauscht, um Golden Ticket-Angriffe zu verhindern.
Nachdem wir unser Sicherheitsnetz eingerichtet hatten, gingen wir zur Analyse über, in der wir Antworten auf mehrere zentrale Fragen suchten:
- Wie sind die Bedrohungsakteure hereingekommen?
- Wie haben sie AD kompromittiert?
- Wie haben sie die Zugangsdaten für die Domäne erworben?
- Könnten sie durch zusätzliche Engagements den Zugang wiedererlangen?
- Gab es irgendwelche Hintertüren, die geschlossen werden mussten?
- Wie war die grundlegende Sicherheitslage des Kunden?
- Welche bewährten Verfahren hat der Kunde eingesetzt?
Während all dies geschah, konnte der Kunde, ein Betreiber kritischer Infrastrukturen, seinen Betrieb wie gewohnt fortsetzen. Längere Ausfallzeiten waren einfach keine Option. Das Unternehmen musste seinen Kunden weiterhin Dienstleistungen anbieten, während wir seine Systeme auf Anzeichen von Bedrohungsakteuren untersuchten.
Bewertung der Grundursache
Wir entdeckten bald, dass der Client aus mehreren Richtungen und von mehreren Angreifern angegriffen wurde, jeder unabhängig von den anderen. Es gab mindestens vier Angreifer, die sich jeweils in einem anderen Stadium der Angriffskette befanden. Einige verfügten bereits über Domänenkonten, andere versuchten, Passwörter auszuspionieren.
Wir hatten einen Alptraum in Sachen Cybersicherheit vor uns.
Um das System auf Schwachstellen wie die Verknüpfung von Gruppenrichtlinienobjekten (GPOs) und umkehrbare Passwörter zu überprüfen, haben wir die Purple Knight. Außerdem haben wir je nach Situation zusätzliche Skripte, manuelle Prüfungen und Lösungen eingesetzt.
Wir fanden mehrere Benutzerkonten, darunter auch Administratorkonten, mit definierten SPNs: erstklassige Ziele für Kerberoasting. Wir fanden auch heraus, dass die Domänencomputer nicht in der Lage waren, ein Zertifikat im System zu definieren. Und wir fanden ein Helpdesk-Konto, das alle Passwörter im System zurücksetzen konnte, auch die der Systemadministratoren.
Active Directory wiederherstellen
Mit einem solchen Szenario waren wir noch nie konfrontiert worden. Die Behebung des Problems kam uns so vor, als würden wir aus mehreren Richtungen beschossen, während wir versuchten, die Reifen an einem Auto zu wechseln, das mit 100 Meilen pro Stunde über die Autobahn raste.
Letztendlich entschieden wir, dass es am besten war, zu teilen und zu erobern. Das EDR-Team setzte seine EDRs auf den Servern ein, während wir die Kommandozentralen ausfindig machten und neutralisierten. Wir verbrachten anderthalb Tage damit, Active Directory zu härten. Unsere Maßnahmen umfassten:
- Einführung eines Tiering-Modells (die Administratoren hatten sich auf normalen Arbeitsplätzen in ihre E-Mails eingeloggt)
- Erstellen völlig neuer Konten unter Nutzung der MS Protected-Benutzergruppe
- Identifizieren und Entfernen potenzieller Kerberoasting-Ziele
- Konfigurieren von Berechtigungen für Organisationseinheiten (OU) und GPO-Anpassungen
Unser letzter Schritt war die größte Herausforderung. Wir mussten den Kern dieser kritischen Infrastrukturorganisation erhalten - eine Art digitale Herztransplantation.
Wir warteten auf das Wochenende, an dem der Verkehr am geringsten sein würde, und machten uns dann an die Arbeit, alles offline zu nehmen.
Nur 30 Minuten später hatten wir ein sauberes, gehärtetes AD in das System zurückverpflanzt. ADFR kümmerte sich um Details wie RID-Pools und Kerberos-Tickets, während das EDR-Team sich mit 20 Command-and-Control-Systemen befasste und Hunderte von IP-Adressen blockierte. Ein kurzer Neustart später war alles, was übrig blieb, eine voll funktionsfähige, sichere AD-Bereitstellung - eine, die mit Azure AD Passthrough für Office 365 aktiviert wurde.
Aus dem Feuer geholt
Active Directory ist unglaublich vielseitig, aber es kann auch ein großes Sicherheitsrisiko darstellen, wenn es nicht richtig konfiguriert ist. Unser Kunde hat das auf die harte Tour gelernt. Glücklicherweise verfügte er über Lösungen, die es ihm ermöglichten, den Kurs zu korrigieren, ohne dass es zu erheblichen Serviceunterbrechungen kam.
Obwohl die Wiederherstellung von Active Directory in dieser Situation für alle Beteiligten eine große Belastung darstellte, war die Belohnung für das Abwehren der Angreifer unbezahlbar. Wie Mickey Bresman, CEO von Semperis, oft sagt, ist es unsere Mission, eine Kraft für das Gute zu sein. Unser Breach Preparedness & Incident Response (BP&IR) Team nimmt diese Verantwortung ernst - wie wir alle bei Semperis. Zu Beginn des neuen Jahres haben wir uns vorgenommen, Organisationen auf der ganzen Welt bei der Abwehr von Cyberangriffen zu helfen, indem wir ihre ITDR-Position stärken und alle verfügbaren Ressourcen nutzen, um Ihnen bei der Wiederherstellung von Active Directory zu helfen, falls das Schlimmste passiert.
Erfahren Sie mehr mit den folgenden Ressourcen und laden Sie unseren kostenlosen Evaluating ITDR Survey Report herunter.