In Teil 1 dieses Blogbeitrags habe ich über die Bedrohung gesprochen, die DCShadow für Unternehmen darstellt, die Microsoft Active Directory (AD) verwenden. In Teil 2 spreche ich über Maßnahmen, die Sie ergreifen können, um Ihr Unternehmen zu schützen.
(Kurze Zusammenfassung: DCShadow ist eine Funktion des Mimikatz-Post-Exploitation-Tools, mit der Angreifer unbemerkt Hintertüren im AD erstellen können, indem sie Änderungen direkt in den AD-Replikationsstrom injizieren).
Beschränken Sie die Tests auf Laborumgebungen
Das Einschleusen von Änderungen in das AD kann Ihr AD beschädigen oder sogar zerstören. Wenn Sie also einen DCShadow-Angriff simulieren oder anderweitig mit DCShadow experimentieren wollen, tun Sie dies nur in einer isolierten Laborumgebung.
Verstärken Sie Ihre Abwehrkräfte
Im Folgenden finden Sie einige Schritte, die Sie unternehmen können, um Ihre Produktionsumgebung vor DCShadow zu schützen:
Privilegierten Zugriff überwachen
Ein Angreifer muss privilegierten Zugriff haben, um DCShadow zu verwenden. Und wenn ein Angreifer erst einmal privilegierten Zugriff hat, können Sie nichts mehr tun, um ihn daran zu hindern, DCShadow zu verwenden.
Da es sich bei Mimikatz um Open-Source-Software handelt, kann ein Angreifer eine triviale Änderung am Code vornehmen, um die Signatur zu ändern und die Erkennung durch Antiviren- und Endpunktschutz-Software zu vermeiden. Und während Tools wie Windows Defender Credential Guard Mimikatz daran hindern können, Passwörter aus dem Speicher zu holen, schützen sie nicht vor der DCShadow-Funktion (die nicht auf Passwörter angewiesen ist).
Daher ist die Einschränkung, Überwachung und Verwaltung des privilegierten Zugriffs (z. B. mit einem PAM-System) von grundlegender Bedeutung, um einen DCShadow-Angriff zu verhindern.
Überwachen Sie Änderungen an AD Sites und Services
Neue, vorübergehende Serverobjekte, die unter einer AD-Site erscheinen, können auf einen DCShadow-Angriff hinweisen. Ich empfehle daher, die AD-Konfigurationspartition, in der diese Objekte gespeichert sind, auf vorübergehend hinzugefügte DCs zu überwachen.
Während Änderungen, die von DCShadow in den AD-Replikationsstrom eingespeist werden, nicht in den Windows-Sicherheitsereignisprotokollen erfasst werden, wird die Registrierung (und Entfernung) von Servern in der Konfigurationspartition durch DCShadow erfasst. So können Sie zum Beispiel in Ihrem SIEM-System Benachrichtigungen einrichten, die Sie über die Erstellung von Serverobjekten unter dem Container CN=Sites, CN=Configuration informieren. Oder wenn Sie ein Tool zur Verfolgung von AD-Änderungen wie Semperis Directory Services (DS) Protector verwenden, können Sie dort Benachrichtigungen einrichten:
(In diesem Beispiel wurde Server als Objektklasse ausgewählt, und es wird eine Benachrichtigung gesendet, wenn ein Serverobjekt zu AD Sites and Services hinzugefügt wird).
Deaktivieren Sie kompromittierte Konten sofort
Wenn ein gefälschter DC entdeckt wird, deaktivieren Sie sofort das Konto, das ihn hinzugefügt hat. Da DCShadow versucht, seine Spuren zu verwischen (indem es keine hinterlässt), ist dies nicht die Art von Angriff, die Sie zulassen sollten, um zu beobachten und dann zu handeln. Höchstwahrscheinlich ist es bereits zu spät und der Angreifer hat bereits Hintertüren geschaffen, aber Sie sollten das Konto trotzdem deaktivieren, um weiteren Schaden zu verhindern.
Licht auf DCShadow werfen
Selbst mit den oben genannten Abwehrmaßnahmen sollten Sie davon ausgehen, dass ein Eindringling von außen - oder ein abtrünniger Insider - irgendwann privilegierten Zugriff erhält. Und Sie sollten davon ausgehen, dass der Angreifer Mimikatz hat und weiß, wie man es benutzt.
Um zu verhindern, dass Ihr AD auf unbekannte - und damit irreparable - Weise kompromittiert wird, müssen Sie in der Lage sein, die von DCShadow vorgenommenen Änderungen zu sehen. Andernfalls könnte es sein, dass Sie das AD von Grund auf neu aufbauen müssen, wie von Microsoft in Planning for Compromise beschrieben.
Der beste und direkteste Weg, um die von DCShadow vorgenommenen Änderungen zu sehen, ist die Überwachung des AD-Replikationsstroms.
Theoretisch könnten Sie die von DCShadow vorgenommenen Änderungen aufdecken, indem Sie den Inhalt von AD dumpen und mit einem Backup vergleichen. In der Praxis ist dies jedoch umständlich (wenn nicht gar unmöglich). Ich habe zum Beispiel mit einem Unternehmen gesprochen, das einen "Dump and Diff"-Versuch unternommen hat, als sein AD kompromittiert wurde, und nach drei Wochen waren sie immer noch nicht sicher, ob sie alle nicht autorisierten Änderungen gefunden hatten.
Die Überwachung des AD-Replikationsstroms sorgt auch dann für Transparenz, wenn ein Angreifer die Protokollierung von Sicherheitsereignissen auf andere Weise umgeht - z. B. durch Ausschalten der Protokollierung, Deaktivieren von Sammelagenten, Löschen von Protokollen usw.
Natürlich reicht die Überwachung nicht aus - Sie brauchen auch eine Möglichkeit, unerwünschte Änderungen sofort rückgängig zu machen.
Beide Funktionen - die Überwachung des AD-Replikationsstroms und die sofortige Rücknahme von Änderungen - sind in Semperis DS Protector verfügbar. Zur Veranschaulichung habe ich eine kurze (8-minütige) Demo eines DCShadow-Angriffs und dessen Erkennung/Beseitigung mit Semperis aufgenommen.
Die Demo ist hier verfügbar.
Beachten Sie, dass Sie, wenn Sie ein Tool zur Verfolgung von AD-Änderungen verwenden, das AD-Änderungen durch Einfügen von LSASS überwacht, die von DCShadow vorgenommenen Änderungen nur dann sehen werden, wenn der LSASS-Agent auch Replikationsereignisse einhakt. (Normalerweise haken diese Agenten nur Änderungsereignisse ab.)
Behalten Sie eine zuverlässige letzte Verteidigungslinie bei
Ich wäre nachlässig, wenn ich nicht auch auf die Notwendigkeit guter Backups und eines bewährten Wiederherstellungsprozesses hinweisen würde. Wenn ein Angreifer eindringt, sich die Rechte verschafft und Ihre Systeme verschlüsselt, wollen Sie ihn (oder die Terroristen, für die er arbeitet) nicht mit der Zahlung des Lösegelds belohnen. Und wenn Ihre Systeme komplett gelöscht sind, gibt es nicht einmal mehr diese schlechte Option. Sorgen Sie also dafür, dass Ihre Backups nicht in Gefahr geraten (d.h. offline sind) und testen Sie Ihren Wiederherstellungsprozess für Active Directory mindestens einmal im Quartal. (Wenn vierteljährliche DR-Tests unvernünftig klingen, ist es an der Zeit, sich nach einem neuen Backup-/Wiederherstellungssystem umzusehen).
Wiederherstellung der Sicht auf Ihr SIEM-System
Als DCShadow veröffentlicht wurde, warnten seine Schöpfer, dass es "Ihr millionenschweres SIEM erblinden lassen könnte". Durch die Überwachung des AD-Replikationsstroms und die Weiterleitung von Änderungsereignissen an Ihr SIEM-System können Sie Ihr SIEM-System wieder sichtbar machen, Investitionen in das System schützen und die Integrität von Active Directory gewährleisten.
