Angreifer haben gelernt, Active Directory und Group Policy zu verwenden, um Schwachstellen in Windows-Netzwerken zu finden und Ziele zu identifizieren. Hier erfahren Sie, was Sie tun können, um das zu verhindern. [...]
Active Directory, seit Windows 2000 Teil von Windows Server, ist die Grundlage für viele, viele Unternehmen. Es ermöglicht es Firmen, alle Benutzer und Computer in einer Windows-Domäne zu authentifizieren und zu autorisieren. Group Policy bietet eine zentralisierte Verwaltung und Konfiguration von Betriebssystemen, Anwendungen und Benutzereinstellungen in einer Active Directory-Umgebung. Sie ermöglicht es Administratoren, viele Sicherheitsrichtlinien und Einstellungen festzulegen, um bestimmte Aktionen und Präferenzen durchzusetzen.
Mit anderen Worten: Sie ermöglicht es Firmen, Standards in einem Unternehmen festzulegen. Sie ermöglicht es Angreifern auch, Muster in einem Netzwerk zu erkennen und die Gruppenrichtlinienfunktionen zu nutzen, um mehr Rechte zu erhalten. Ich scherze oft, dass Angreifer wissen, wie sie unsere Netzwerke besser verwalten und pflegen können als wir selbst.
Vor kurzem habe ich Darren Mar-Elia, den Vizepräsidenten von Semperis, interviewt, den ich seit vielen Jahren als Guru der Gruppenrichtlinien kenne. Zunächst ging es ihm darum sicherzustellen, dass IT-Fachleute die Möglichkeiten von Active Directory (AD) und Group Policy nutzen und verstehen. Mit der Zeit hat er erkannt, dass Angreifer die Macht der Gruppenrichtlinien erkannt haben und im Stillen mehr Rechte im Netzwerk erlangen.
Nehmen wir an, dass Angreifer einen Phishing-Angriff starten und sofort die Kontrolle über ein Netzwerk übernehmen. Häufig legen sie sich auf die Lauer und untersuchen das Netzwerk, wobei sie sich die Zeit nehmen, die Unternehmensstruktur und -beziehungen zu verstehen, bevor sie Angriffe starten. Außerdem haben es die Angreifer auf Administratoren und diejenigen abgesehen, die Kontrolle über wichtige Vermögenswerte haben. Der öffentliche Angriff auf Twitter ist ein Beweis dafür, dass die Angreifer auf Administratoren und Rollen abzielen, die die Kontrolle über bestimmte Aufgaben hatten. Sie stellten dann sicher, dass sie in der Lage sind, diese Aufgaben und Funktionen zu übernehmen.
Die von den Angreifern verwendeten Tools kennen
Mar-Elia beschreibt die Anzahl der Parsing-Tools, mit denen Angreifer feststellen konnten, welche Richtlinien im Active Directory aktiv waren und welche Richtlinien im Netzwerk eingesetzt wurden. Tools wie PowerSploit sind in der Hackergemeinde zusammen mit BloodHound und Mimikatz gut bekannt. Diese Tools sind den Angreifern gut bekannt und ermöglichen es ihnen, Ihr Netzwerk besser zu verstehen und die Beziehungen zwischen Benutzern und Anlagen zu überprüfen, um festzustellen, wo Sie schwach sind oder wer die Kontrolle über wichtige Anlagen hat.
Wir kennzeichnen die Unternehmenseinheiten oft mit beschreibenden Namen, die angeben, worauf die Gruppe Rechte hat. Durch diesen Identifizierungsprozess erhält der Angreifer Schlüsselinformationen, die er nutzen kann, um Ihr Unternehmen besser ins Visier zu nehmen und ihm Schaden zuzufügen.
Nehmen Sie sich die Zeit, mehr über BloodHound und ähnliche Tools zu erfahren, die die Graphentheorie zur Identifizierung von Beziehungen nutzen. Mit BloodHound können Sie die kürzesten Angriffspfade und Schwachstellen in Ihrer Umgebung identifizieren, die zusätzliche Aufmerksamkeit erfordern. Sie können damit auch mögliche Abhilfemaßnahmen oder vorgeschlagene Änderungen quantitativ bewerten und Ihre Sicherheitshaltung zwischen zwei Zeitpunkten vergleichen.
Ein im September 2020 veröffentlichter Microsoft Digital Defense Report zeigte auf, dass Angreifer RDP, anfällige Systeme und schwache Anwendungseinstellungen nutzen, um zunächst Zugriff auf Systeme zu erhalten. Dann verwenden sie verschiedene Verfahren wie Mimikatz, LSA Secrets und verschiedene Credential-Angriffe, um eine Autorisierung zu erlangen. Als nächstes verwenden sie Tools wie Cobalt Strike, WMI, Management-Tools und PSExec, um eine laterale Bewegung durchzuführen. Verschiedene Lösegeldtäter haben die Group Policy benutzt, um länger im Netzwerk bestehen zu können. Wie in einem Semperis-Beitrag über verschiedene auf Gruppenrichtlinien basierende Angriffe erwähnt, benutzten die Angreifer Objekte der Gruppenrichtlinien und „fügten Ryuk in das AD-Anmeldeskript ein und infizierten damit jeden, der sich bei diesem AD-Server angemeldet hat“.
Mar-Elia wies auch darauf hin, dass in letzter Zeit eine „Lösegeldforderung unter Verwendung der SYSVOL-Freigabe auf AD-Domänencontrollern beobachtet wurde, die sich in der gesamten Umgebung verbreitete“. Der Zugriff auf die SYSVOL-Freigabe, die zur Bereitstellung von Richtlinien- und Anmeldeskripten an Domänenmitglieder verwendet wird, erfordert in der Regel erhöhte Privilegien und deutet auf eine ernsthafte AD-Kompromittierung hin“.
Änderungen an den Richtlinien der Auditgruppe
Eine wichtige Möglichkeit, wie Sie Ihr Netzwerk besser schützen können, so Mar-Elia, ist die Prüfung und Überprüfung, wer die Möglichkeit hat, Gruppenrichtlinienobjekte zu bearbeiten und mit ihnen zu verknüpfen. Allzu oft segregieren und schützen Unternehmen Verwaltungsvermögen nicht. Wir kennzeichnen und prüfen nicht, wenn in einem Unternehmen Änderungen der Gruppenrichtlinien vorgenommen werden. Wir haben zu viel Kontrolle über die Gruppenrichtlinien an Rollen und Positionen delegiert, die Angreifer dann während ihrer Untersuchungen finden und dazu nutzen, Firewalls fallen zu lassen, Benutzerrechte anzupassen und Bewegungspfade in Unternehmen aufzubauen. Wir überprüfen und überwachen diese Änderungen nicht.
Es gibt viele Möglichkeiten, Änderungen der Gruppenrichtlinien zu prüfen. Sie können das Auditing manuell mit verschiedenen Einstellungen einrichten, oder Sie können auf Produkte von Drittanbietern zurückgreifen, um Berichte zu erhalten. Der Schlüssel liegt darin, alarmiert zu werden, wenn in Ihrer Umgebung etwas passiert. Aktionen wie die Erhebung eines Benutzers zum Domänenadministrator sind nicht normal. Änderungen am AppLocker-Schutz sind nicht normal und sollten nur mit ordnungsgemäßen Änderungsverwaltungsprozessen durchgeführt werden.
Testen der Domänencontroller-Wiederherstellung
Mar-Elia erörterte auch die Auswirkungen von Lösegeldforderungen auf die Art und Weise, wie Firmen Schutz und Backups für ihr Netzwerk einrichten. Die inzwischen berüchtigte Geschichte über die Zerstörung von Lösegeld ist die der Reederei Maersk. Sie sahen Domänencontroller als entbehrlich und wiederherstellbar an, indem sie bei Bedarf einfach einen anderen Domänencontroller einsetzten. Doch als die Erpresser das Maersk-Netzwerk attackierten, hatten sie außer einem Offline-Domänencontroller an einem entfernten Standort keine andere Möglichkeit, ihre Active Directory-Struktur wiederherzustellen. Sie mussten den einzigen sauberen Domänencontroller physisch wieder in das Netzwerk bringen, um die Domäne wiederherzustellen.
Denken Sie an Ihre eigene Active Directory-Infrastruktur. Wenn (oder besser gesagt, sobald) Ihr Netzwerk von Lösegeldern getroffen wird, verfügen Sie dann über die erforderlichen Tools und Techniken, um zunächst festzustellen, ob Ihr Domänencontroller ohne erneute Infektion oder auf einer alternativen Infrastruktur wiederhergestellt werden kann? Eine Studie aus dem Jahr 2020 hat ergeben, dass, obwohl 97 % der befragten Unternehmen angaben, dass Active Directory geschäftskritisch ist, mehr als die Hälfte von ihnen ihren Active Directory-Cyber-Desaster-Recovery-Prozess nie wirklich getestet hat oder überhaupt keinen Plan in der Hand hatte. Diese Entdeckung ist alarmierend, wenn man bedenkt, wie schnell sich Ransomware-Angriffe entwickeln und wie weitreichend sich ein Ausfall des Active Directory auswirken kann. Prüfen Sie Ihre Optionen und Fähigkeiten, um sich von einem Angriff zu erholen. Es ist eine Frage des Wann, nicht des Ob.
*Susan Bradley schreibt unter anderem für CSO.com.
Be the first to comment