Red Team Basics: Wie Angreifer Ihre Active Directory-Infrastruktur Kompromittieren

Einleitung

Als Sysadmin oder Security-Expert wissen Sie, dass ein robustes Active Directory-Sicherheitsmodell von entscheidender Bedeutung ist, um die Sicherheit Ihres Unternehmens zu gewährleisten. Doch was, wenn ein Angreifer Ihre AD-Infrastruktur kompromittiert? Wie erfolgt der Angriff und wie können wir diese Angriffe vermeiden? In diesem Artikel werden wir uns ansehen, wie Red Teams Ihre Active Directory-Infrastruktur kompromittieren und gleichzeitig Schritt für Schritt zeigen, wie Sie diese Angriffe vermeiden können.

Pass-the-Hash (PtH)

Ein häufiges Angriffsszenario, bei dem ein Angreifer Ihre Active Directory-Infrastruktur kompromittiert, ist das Pass-the-Hash-Verfahren. Dabei verwendet der Angreifer die Hash-Werte von Benutzerkontopasswörtern, um sich als authenticierte Benutzer auszugeben.

Ein Beispiel für ein Attacke-Szenario:

Zum Beispiel verwendet ein Angreifer die Ablaufzeit einer Benutzerkennung, um den Hash-Wert des Passworts des Benutzers zu erhalten. Dann verwendet er diesen Hash-Wert, um sich als authenticierung Benutzer auszugeben, um sensible Daten abzurufen oder andere Schadensfaktoren einzubringen.

Ein praktisches Beispielfall ist die Verwendung der Linize Get-ADUser -Filter {SAMAccountName -eq 'Benutzername'} -Properties DistinguishedName, Enabled, GivenName, Mail, Manager, MemberOf, OfficePhone, ScriptPath, Title, UserPrincipalName, PasswordLastSet, PasswordNeverExpires. Dies gibt uns Daten über den Benutzer wie z.B. die DistinguishedName, das Kennwort und dessen Ablaufzeit. Der Hashwert kann anschließend unter Nutzung von einer Bibliothek wie CrackStation verwendet werden, um in das tatsächliche Passwort zu gelangen.

Kerberoasting

Ein weiteres Angriffsszenario ist das Kerberoasting. Dabei manipuliert der Angreifer die Antwort auf den Kerberos-Auth-Request, um den Zugriff auf sensible Daten zu erhalten.

Ein Beispiel für ein Attacke-Szenario:

Zum Beispiel manipuliert ein Angreifer die Antwort auf den Kerberos-Auth-Request, um eine falsche Ticket-Granting-Servicename zu erhalten. Dann verwendet er dieses Ticket, um Zugriff auf sensible Daten zu erhalten.

Ein praktisches Beispielfall ist die Verwendung von Kali Linux, wo die Nutzer der Software die Möglichkeit haben, Kerberos-Daten zu manipulieren und zu simulieren und so einen Ticket Granting Service zu erstellen. Der Kerberos-Auth-Request kann ebenfalls unter der Verwendung des Get-ADServiceAccount Befehls geerledigt werden. Beim Aufrufen vom Klist Befehl unter Windows, wird die Liste der Accounts und deren Zugriffsbereiche angezeigt.

Häufige Fehler

Ein häufiges Problem bei der Abwehr von Red Team-Angriffen ist die Tatsache, dass die Benutzer das Kennwort nicht anpassen, wenn sie eine Warnung erhaltens. Dies ist ein häufiges Problem, da Benutzer oft nicht ihre Kennwörter anpassen, wenn sie nicht daran gewöhnt sind. Des Weiteren ist es wichtig, dass die IT-Abteilung stets auf der Höhe der Zeit bleibt und dass die Benutzer stets über die neuesten Sicherheitseinstellungen und -prozessen informiert sind. Immerhin, wenn ein Nutzer ein Angriff-Szenario beobachtet und das kennwort ändert, ist das Wissen darüber im Allgemeinen nicht ausreichend.

Fazit und nächster Schritt

In diesem Artikel haben wir uns ansehen, wie Red Teams Ihre Active Directory-Infrastruktur kompromittieren und gleichzeitig Schritt für Schritt zeigen, wie Sie diese Angriffe vermeiden können. Dazu gehört es, dass Benutzer ihre Passwörter regelmäßig anpassen, die IT-Abteilung stets aufrecht und informiert ist, regelmäßige Sicherheits-Probe durchführen und gegeben sei, die Benutzer die Warnungen, die ihnen gelten anpassen. Nur in diesem Fall, können wir den Bereich unsere Active Directory Sicherheit auf höchstem Niveau stehlen haben und der Unternehmenssicherheit optimal gerecht werden.

Viele Grüße, Dein Blogger