DCShadow ist eine leicht verfügbare Technik, die es einem Angreifer ermöglicht, einen dauerhaften privilegierten Zugang in Microsoft Active Directory (AD) einzurichten.
Konkret erlaubt DCShadow einem Angreifer mit privilegiertem Zugriff, beliebige Objekte im AD zu erstellen und zu bearbeiten, ohne dass es jemand merkt. Dadurch kann der Angreifer Hintertüren im gesamten AD erstellen, die nicht entdeckt werden können, selbst wenn der ursprüngliche privilegierte Zugriff entdeckt wird.
Es wurde schon viel über DCShadow geschrieben, aber die meisten Unternehmen können sich immer noch nicht dagegen schützen.
Das ist zwar sehr besorgniserregend, sollte aber nicht völlig überraschen, da DCShadow speziell dafür entwickelt wurde, bestehende Sicherheitsmaßnahmen zu umgehen. Was können Sie also dagegen tun?
Was ist DCShadow
DCShadow ist eine Funktion des Open-Source-Dienstprogramms Mimikatz ( hier zum Download verfügbar). Mimikatz ist das führende Post-Exploitation-Tool für Angriffe, die auf Windows-Anmeldeinformationen basieren, und wurde bei vielen der derzeit destruktivsten Cyberangriffe eingesetzt, darunter LockerGoga, NotPetya, WannaCry, SamSam und zweifellos noch mehr.
So funktioniert DCShadow
DCShadow umgeht bestehende Sicherheitsmaßnahmen auf verschiedene Weise:
1. Nutzt den normalen Replikationsmechanismus in AD aus
DCShadow steht nicht im Zusammenhang mit einer Windows-Schwachstelle. Es gibt also kein Sicherheits-Patch, das Sie anwenden können, um Ihr Risiko zu beseitigen. Es hat auch nichts mit der AD-Konfiguration zu tun, so dass es keine Einstellung gibt, die Sie ändern können, um eine Lücke zu schließen.
2. Umgeht die Entdeckung durch Umgehung der Windows-Sicherheitsereignisprotokollierung
DCShadow ermöglicht es jedem Windows-Server, sich als Domänencontroller (DC) auszugeben und Änderungen direkt in den AD-Replikationsstrom einzuspeisen. Solche Änderungen werden nicht in Sicherheitsereignisprotokollen aufgezeichnet, und es gibt keine Audit-Einstellung, die Sie anpassen können, um dies zu ändern. Infolgedessen sehen SIEM-Systeme und die meisten Tools zur Verfolgung von AD-Änderungen nicht die Änderungen, die der Angreifer vorgenommen hat, um den privilegierten Zugriff aufrechtzuerhalten (z. B. die Erstellung eines neuen Benutzers und dessen Aufnahme in die Gruppe der Domänenadministratoren), und können Sie nicht darauf aufmerksam machen.
3. Ermöglicht es einem Angreifer, beliebige Änderungen in AD einzuschleusen
Ein Angreifer kann zum Beispiel die SID eines Unternehmens- oder Domänenadministrators zum SID-Verlauf eines normalen Benutzerkontos hinzufügen und über dieses Konto privilegierten Zugriff erhalten. Selbst wenn Sie also Änderungen an den Gruppen Unternehmensadministratoren und Domänenadministratoren einschränken, kann ein Angreifer dennoch Unternehmens- oder Domänenadministratorrechte erhalten. Und wenn Sie Änderungen an sensiblen Sicherheitsgruppen überwachen, werden Sie einen Angreifer mit privilegiertem Zugriff über den SID-Verlauf nicht erwischen.
DCShadow ist außerdem unglaublich effizient: Ein Angreifer muss seinen ursprünglichen privilegierten Zugang nur einmal verwenden und kann in nur ein oder zwei Sekunden eine beliebige Anzahl von nicht zurückverfolgbaren Hintertüren erstellen.
In einer Mimikatz-Konsole stellt der Angreifer alle Hintertüren auf, die er im AD erstellen möchte (neue Benutzerkonten, Gruppenmitgliedschaften, SID-Verlauf) usw:
In diesem Beispiel hat der Angreifer nur eine Änderung in die Warteschlange gestellt (das Hinzufügen der SID eines Domänenadministrators zum SID-Verlauf eines normalen Benutzers), aber der Angreifer könnte leicht 15, 20 oder mehr Änderungen in die Warteschlange stellen.
In einer zweiten Mimikatz-Konsole "pusht" der Angreifer die Änderungen in den AD-Replikationsstrom:
Die Einspeisung der Änderungen erfolgt in nur ein oder zwei Sekunden, einschließlich der Zeit, die für die Registrierung und De-Registrierung des gefälschten DC benötigt wird.
Was Sie gegen DCShadow tun können
In Teil 2 dieses Blog-Beitrags gehe ich auf Maßnahmen ein, die Sie zur Abwehr von DCShadow ergreifen können.
Wie Sie sich vielleicht denken können, besteht eine Möglichkeit darin, Änderungen im AD-Replikationsstrom zu überwachen. Wenn Sie einen kleinen Einblick in diesen Ansatz - oder eine Demo eines DCShadow-Angriffs - haben möchten, können Sie sich ein kurzes (8-minütiges) Video ansehen, das ich kürzlich aufgenommen habe. Das Video ist hier verfügbar.
