Angriffe auf Active Directory? Auch, aber nicht nur...

(Di Alessandro Rugolo)
04/08/23

Beim Lesen bin ich auf eines gestoßen Infografiken wirklich interessant. Ich muss zugeben, dass mich Infografiken wegen ihrer Fähigkeit ansprechen, Konzepte durch Diagramme oder Zeichnungen klar und unmittelbar darzustellen. Diese Art der Darstellung weckt oft meine Neugier und so war es auch dieses Mal.

Dies ist ein LinkedIn-Beitrag, der in einer Gruppe (Ethical Hackers Academy) veröffentlicht wurde, in der zehn Methoden zum Angriff auf Active Directory (AD) vorgestellt werden.

Deshalb hielt ich es für angebracht, mich einen Moment damit zu befassen, da mir mehr als einmal klar wurde, dass es viele gibt, die denken, dass eine AD-Domäne ein Sicherheitsproblem sein kann.

Wie alle Systeme bringt AD Sicherheitsvorteile mit sich, ist aber nicht ohne Grenzen und Schwachstellen (und noch häufiger mit schlechter Konfiguration!) und darüber werden wir in diesem Artikel sprechen. 

Aber was ist Active Directory? 

Ein Verzeichnisdienst wie Active Directory bietet Methoden zum Speichern von Verzeichnisdaten und deren Bereitstellung für Netzwerkadministratoren und Benutzer. Active Directory speichert Benutzerkontoinformationen wie Namen, Passwörter, Telefonnummern usw. und ermöglicht anderen autorisierten Benutzern im selben Netzwerk den Zugriff auf diese Informationen. Active Directory verwendet einen strukturierten Datenspeicher als Grundlage für eine logische und hierarchische Organisation von Verzeichnisinformationen und enthält Informationen über Active Directory-Objekte. Zu diesen Objekten gehören typischerweise gemeinsam genutzte Ressourcen wie Server, Volumes, Drucker sowie Netzwerkbenutzer- und Computerkonten. Die Sicherheit ist durch Anmeldeauthentifizierung und Zugriffskontrolle auf Objekte im Verzeichnis in Active Directory integriert. Mit einer einzigen Netzwerkanmeldung können Administratoren Organisations- und Verzeichnisdaten im gesamten Netzwerk verwalten und autorisierte Netzwerkbenutzer können überall im Netzwerk auf Ressourcen zugreifen. Die richtlinienbasierte Verwaltung vereinfacht die Verwaltung selbst des komplexesten Netzwerks.

Vergessen wir also nicht, dass AD bestimmte Funktionen ausführt und nicht alle davon Sicherheitsfunktionen sind. AD dient als zentrales Repository für einige Daten. Diese Daten können in einer komplexen Organisation repliziert und verbreitet werden, um die hohe Verfügbarkeit einiger Dienste sicherzustellen. AD führt Sicherheitsfunktionen aus, indem es die Verwendung verschiedener Arten von Authentifizierung, GPOs und Workflows ermöglicht, und führt bei einigen eine Prüfung durch Ereignisse, die im Identity-Management-System auftreten können, wie z. B. die Benutzerauthentifizierung, und können auch Single-Sign-On-Funktionen ausführen.

Angesichts der Anzahl und Bedeutung der Funktionen ist es daher notwendig, besonders aufmerksam zu sein und sich die Frage zu stellen: Was passiert, wenn AD angegriffen wird?

Nun, ohne den Anspruch auf Vollständigkeit zu erheben, sind hier einige Arten von Angriffen, die untersucht werden sollten, um sie harmlos zu machen oder zumindest zu erkennen, dass Sie angegriffen werden.

Kerberasting. Gemäß der Definition von CROWDSTRIKE handelt es sich um eine Post-Exploitation-Angriffstechnik (Angriff, der dazu neigt, die Anmeldeinformationen einer Person zu erweitern und zu verbessern, wenn sie sich bereits in einem System befindet). Dieser Angriff besteht darin, den Hash des Passworts eines AD-Kontos abzurufen, das den SPN-Dienst (Service Principal Name: Identity Management Service) nutzt. Sobald der Hash erhalten ist, entschlüsselt der Angreifer das Passwort und hat nun alles, was er braucht, um sich als Benutzer auszugeben und so Zugriff auf alle Netzwerke oder Systeme zu erhalten, zu denen er berechtigt ist.

Passwort-Spraying-Angriff. Laut CROWDSTRIKE besteht diese Art von Angriff darin, dasselbe Passwort gegen eine Liste von Benutzern derselben Anwendung auszuprobieren. Es handelt sich also um einen Brute-Force-Angriff, der leichter zu verbergen ist als der häufigere Angriff gegen einen einzelnen Benutzer mit mehreren Passwörtern. In diesem Fall verwendet der Angreifer Active Directory, um eine Liste der aktiven Benutzer auf dem System zu sammeln, aber diese Sammlung von Informationen kann auch auf andere Weise erfolgen, daher ist es meiner Meinung nach nicht richtig, diese Art von Angriff zu diesen zu zählen Das bedeutet, dass es auf aktive Verzeichnisse abzielt. Und kommen wir zum dritten.

Auflösung des Local-Loop-Multicast-Namens (LLMNR). Es handelt sich um ein Protokoll, das die Namensauflösung in einem lokalen Netzwerk dank der Verwendung eines Multicast-Pakets auf dem UDP-Port 5355 ermöglicht. In diesem Fall spielt AD das Spiel, wenn es in seinem GPO nicht den Hinweis enthält, LLMNR nicht zu verwenden der Angreifer. Auch in diesem Fall handelt es sich nicht um eine Schwäche von AD, sondern (hoffentlich) um eine Einschätzung des Netzwerkadministrators. Tatsächlich ist in manchen Fällen die Verwendung von LLMNR sinnvoll, auch wenn solche Fälle heutzutage stark zurückgegangen sind.

Pass-the-Hash mit Mimikatz. Diese Angriffstechnik besteht darin, Anmeldeinformationen von AD zu stehlen. Anmeldeinformationen, die dann für seitliche Bewegungen innerhalb der angegriffenen Umgebung verwendet werden können. Um diesen Angriff durchzuführen, ist es notwendig, die Passwort-Hashes der Domänenbenutzer, die sich in der Datei Ntds.dit befinden, zusammen mit anderen Informationen über Objekte und Gruppen zu extrahieren. Dank der Verwendung eines Tools namens Mimikatz ist es also möglich, die Hashes zur Durchführung des Angriffs zu verwenden und sich als beliebiger Benutzer der Domain auszugeben. 

LDAP-Aufklärung. Die Technik namens LDAP Reconnaissance besteht aus einem Angriff, der innerhalb des Systems durchgeführt wird und darauf abzielt, Informationen aus LDAP zu sammeln. Diese Benutzerinformationen können dann verwendet werden, um komplexere gezielte Angriffe durchzuführen.

Bloodhound-Aufklärung. BloodHound ist ein Tool, mit dem Sie nicht nur nach Schwachstellen in AD suchen können. BloodHound nutzt die Graphentheorie, um versteckte Beziehungen, Berechtigungen, Sitzungen und mögliche Angriffspfade in einer Windows-Domäne zu identifizieren. Theoretisch dient es dazu, Cybersicherheitsexperten bei der Verteidigung ihrer Domäne zu helfen, kann aber natürlich auch von einem Angreifer genutzt werden. 

Es muss gesagt werden, dass es sich grundsätzlich nicht um spezifische Angriffe oder Tools für AD handelt, sondern oft auch gegen andere Systeme gültig sind.

Die Liste der zehn Angriffe umfasst auch wirklich generische Angriffstechniken, an denen AD nicht direkt beteiligt ist, insbesondere: Standardanmeldeinformationen, fest codierte Anmeldeinformationen, Privilegieneskalation. Diese Techniken richten sich nicht ausschließlich gegen AD, sondern können gegen jedes Computersystem eingesetzt werden.

Ich frage mich immer nach dem Warum der Dinge, besonders wenn ich schreibe. 

Ein Titel kann großen Einfluss darauf haben, ob er Leser anzieht oder nicht, und die Leser schenken dem, was sie lesen, nicht immer genügend Aufmerksamkeit. Das Ergebnis ist das Übliche: Man wird beeinflusst, für oder gegen ein bestimmtes Thema oder eine bestimmte Idee.

In diesem Fall kommen von den zehn Angriffsmethoden gegen Active Directory, die weitreichend sein wollen, maximal sechs in Betracht. Auf jeden Fall danke ich der Ethical Hackers Academy, dass sie mir die Möglichkeit zu einem kleinen Einblick gegeben hat.

PS Wie immer vielen Dank an die SICYNT-Freunde, die mit Vorschlägen und Korrekturen beitragen wollten

Um mehr zu erfahren:

- https://www.linkedin.com/posts/mohessa511_activedirectory-kerberos-attac...

- https://www.crowdstrike.com/cybersecurity-101/kerberoasting/

- https://thebackroomtech.com/2018/08/21/explanation-of-service-principal-...

- https://www.crowdstrike.com/cybersecurity-101/password-spraying/ 

- https://www.blackhillsinfosec.com/how-to-disable-llmnr-why-you-want-to/

- https://www.blackhillsinfosec.com/?s=Active+Directory

- https://www.advantio.com/blog/attacking-active-directory-by-llmnr-nbsn

- https://blog.netwrix.com/2021/11/30/passing-the-hash-with-mimikatz/

- https://blog.netwrix.com/2021/11/30/extracting-password-hashes-from-the-...

- https://www.netwrix.com/ldap_reconnaissance_active_directory.html

https://blog.netwrix.com/2022/12/09/bloodhound-active-directory/

https://learn.microsoft.com/pdf?url=https%3A%2F%2Flearn.microsoft.com%2F...

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/sec... 

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/sec....

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte