Eintauchen in AD: Wir analysieren erweiterte Angriffe auf Microsoft Active Directory und wie diese erkannt werden



    Bild: Pexels

    In den letzten vier Jahren hat kein einziger Black Hat oder DEF CON Berichte über Angriffe auf Microsoft Active Directory veröffentlicht. Die Teilnehmer sprechen über neue Vektoren und ihre Erfindungen, vergessen jedoch nicht, wie sie erkannt und verhindert werden können. In diesem Artikel werden beliebte Möglichkeiten zum Angriff auf AD untersucht und Empfehlungen zum Schutz vor AD gegeben.

    Sechs AD-Angriffe, die Sie nicht übersehen können


    Viele Hersteller von Sicherheitsüberwachungssoftware unterstützen bereits eine Vielzahl von Angriffstechniken in ihren Produkten. Betrachten wir einige davon.

    Pass-the-Hash


    Diese Technik ist aufgrund der architektonischen Merkmale des NTLM-Authentifizierungsprotokolls möglich, das von Microsoft in den neunziger Jahren des letzten Jahrhunderts entwickelt wurde. Um sich bei einem Remote-Host anzumelden, wird ein Passwort-Hash verwendet, der im Speicher des Computers abgelegt wird, von dem aus die Authentifizierung erfolgt. Dementsprechend kann es von dort extrahiert werden.

    Mimikatz


    Für die komfortable Bedienung von Pass-the-Hash hat der französische Forscher Benjamin Delpy (Benjamin Delpy) 2014 das Dienstprogramm mimikatz entwickelt. Es ermöglicht das Speichern von Klartext-Passwörtern und NTLM-Hashes aus dem Speicher.

    Brute Force


    Wenn der Angreifer nicht über genügend Anmeldeinformationen verfügt, die er von einem Host extrahiert hat, kann er auf eine einfache, aber effektive Technik zum Erraten von Passwörtern zurückgreifen.

    Netto-Benutzer / Domain


    Woher bekommt man ein Wörterbuch mit Benutzernamen, um Brute Force durchzuführen? Jedes Mitglied der Domäne kann den Befehl net user / domain verwenden, der eine vollständige Liste der Benutzernamen von AD zurückgibt.

    Kerberoasting


    Wenn die Domäne Kerberos als Authentifizierungsprotokoll verwendet, kann der Angreifer auf einen Kerberoasting-Angriff zurückgreifen. Jeder in der Domäne authentifizierte Benutzer kann ein Kerberos-Ticket anfordern, um auf den Ticket Granting Service zuzugreifen. TGS ist mit dem Kennwort-Hash des Kontos verschlüsselt, von dem aus der Zieldienst ausgeführt wird. Ein Angreifer, der auf diese Weise TGS erhalten hat, kann es jetzt entschlüsseln, indem er ein Kennwort aufnimmt und keine Angst vor dem Blockieren hat, da es offline erfolgt. Nach einem erfolgreichen Abschluss erhält er ein Kennwort von dem mit dem Dienst verknüpften Konto, das häufig privilegiert ist.

    Psexec


    Nachdem der Angreifer die erforderlichen Anmeldeinformationen erhalten hat, muss er Befehle remote ausführen. Das PsExec-Dienstprogramm aus der Sysinternals-Suite ist dafür gut geeignet. Sie hat sich sowohl bei IT-Administratoren als auch bei Angreifern bewährt.

    Sieben Angriffszauber zur Erfassung von Active Directory


    Wir gehen nun zu sieben Zaubersprüchen über, mit denen Angreifer die vollständige Kontrolle über Active Directory erlangen können. Wir werden sie in vier Stufen einteilen:

    1. Intelligenz.
    2. Werbung auf AD.
    3. Bedienung.
    4. Domain-Erfassung.

    Im Diagramm sehen Sie alle vier sowie die Techniken, die auf ihnen angewendet werden. Lassen Sie uns jedes im Detail betrachten.



    Stufe 1. Erkundung


    Beginnen wir mit der Intelligenzstufe.

    Powerview


    Dieses Tool ist Teil des beliebten PowerShell-Frameworks für Penetrationstests - PowerSploit . Es stützt sich auch auf das BloodHound- Tool , mit dem ein Diagramm der Objektbeziehungen in AD erstellt wird.



    Eine grafische Darstellung der Active Directory-Objektzuordnungen von

    Bloodhound bietet sofort die folgenden Funktionen:

    • Suchen Sie nach Konten aller Domänenadministratoren.
    • Hosts finden, auf denen Domänenadministratoren angemeldet sind;
    • Erstellen Sie mit der Domänenadministrationssitzung den kürzesten Pfad vom Host des Angreifers zum Host.

    Der letzte Absatz beantwortet die Frage, welche Hosts vom Angreifer gehackt werden müssen, um zum Domänenadministratorkonto zu gelangen. Dieser Ansatz verkürzt die Zeit, um die vollständige Kontrolle über die Domäne zu erlangen, erheblich.

    PowerView unterscheidet sich von den integrierten Dienstprogrammen zum Abrufen von Daten über AD-Objekte (z. B. net.exe) darin, dass es das LDAP-Protokoll und nicht SAMR verwendet. Das Ereignis 1644 von einem Domänencontroller ist zum Erkennen dieser Aktivität geeignet. Die Protokollierung dieses Ereignisses wird durch Hinzufügen des entsprechenden Werts in der Registrierung aktiviert:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostic\\15 Field Engineering = 5



    Protokollierung des LDAP-Ereignisses 1644



    Ereignis 1644 mit LDAP-Anforderungsparametern

    Es ist zu beachten, dass es eine ganze Reihe solcher Ereignisse geben kann, und eine gute Alternative zur Ereigniserkennung ist die Verkehrserkennung, da LDAP ein Klartextprotokoll ist. Dementsprechend sind alle Anforderungen im Verkehr perfekt sichtbar. LDAP SearchRequest (Klicken, um das Bild in voller Größe zu öffnen) Ein weiteres wichtiges Merkmal dieses Frameworks ist, dass es in reiner PowerShell geschrieben ist und keine Abhängigkeiten aufweist. Und hier hilft uns zur Erkennung die in PowerShell Version 5 eingeführte erweiterte Überwachungsfunktion. Ereignis 4104 zeigt den Hauptteil des Skripts, in dem nach PowerView-spezifischen Funktionsnamen gesucht werden kann.









    SPN-Scan


    Es kann den Start von nmap durch den Angreifer ersetzen. Nachdem der Angreifer der Vollständigkeit halber herausgefunden hat, welche Benutzer und Gruppen sich in AD befinden, benötigt er Informationen darüber, welche Dienste verfügbar sind.



    Dies wird normalerweise durch Scannen der Ports mit nmap gelöst. Diese Informationen können jetzt aber auch von AD bezogen werden - sie sind dort bereits gespeichert. Sie können sich das Ergebnis der Ausführung einer solchen Anfrage wie folgt ansehen: Die sogenannten SPN (Service Principal Names) werden zurückgegeben. Der SPN besteht aus einer Serviceklasse, die für jeden Servicetyp eindeutig ist. Anschließend wird der Hostname als FQDN und für einige Services als Port angegeben.



    Spn Beispiele Vollständige Liste der Dienstprinzipalnamen

    Um SPN-Scan zu erkennen, hilft auch die LDAP-Ereignisüberwachung.
    Es ist wichtig zu beachten, dass der SPN-Scan einen deutlichen Vorteil gegenüber dem nmap-Scan hat: Er ist weniger verrauscht. Wenn Sie nmap verwenden, müssen Sie eine Verbindung zu jedem Knoten herstellen und Pakete an den von Ihnen angegebenen Portbereich senden. Und um die Liste der SPN zu erhalten, müssen Sie nur eine Anfrage senden.

    Aufzählung der Remote-Sitzungen


    Eine wichtige Aufgabe für einen Angreifer in der lateralen Bewegungsphase besteht darin, festzustellen, welcher Benutzer an welchem ​​Computer angemeldet ist. Oder er hat bereits Benutzeranmeldeinformationen (Hash- oder Kerberos-Ticket) und sucht nach Hosts, bei denen Sie sich ungehindert anmelden können. Oder er ist auf der Suche nach einem Host, auf dem eine Live-Domain-Administratorsitzung stattfindet.

    Dann wird das Szenario ausgelöst: Jagen -> Kompromittieren eines beliebigen Wirtes -> Golf von Mimikatz -> Profitieren.

    Sie können 2 Ereignisse verwenden, um diese Technik zu erkennen. 4624 ist eine erfolgreiche Anmeldung auf einem Remotesystem mit einer Anmeldung vom Typ 3 sowie IPC $ -Netzwerkzugriffsereignissen, und die Nuance ist der Name der Pipe - srvsvc. Warum die Pipe so genannt wird, ist aus dem Verkehr ersichtlich. Klicken Sie hier, um das Bild in voller Größe zu öffnen.





    Links in rot der Aufruf von SMB, dann der Aufruf von pipe - srvsvc. Über diese Pipe können Sie mit dem speziellen Server Service Remote Protocol interagieren. Es ermöglicht Endhosts, verschiedene administrative Informationen zu erhalten, einschließlich Unter den Abfragen gibt es eine mit dem Namen NetSessEnum. Als Ergebnis dieser Anforderung wird eine vollständige Liste der am fernen System angemeldeten Benutzer mit IP-Adresse und Benutzernamen zurückgegeben. In MaxPatrol SIEM haben wir eine Erkennung basierend auf einer Kombination dieser beiden Ereignisse unter Berücksichtigung von srvsvc durchgeführt. Und eine ähnliche Verkehrserkennung in PT Network Attack Discovery.





    Stufe 2. AD-Promotion


    Overpass-the-Hash


    Die Reinkarnation von Pass-the-Hash. Fortsetzung des Themas der seitlichen Bewegung. Was kann ein Angreifer tun, wenn er einen NTLM-Hash hat? Er kann einen Pass-the-Hash-Angriff durchführen - aber es gibt bereits Erkennungen bei ihr. Daher wurde ein neuer Vektor gefunden - der Overpass-the-Hash-Angriff.

    Das Kerberos-Protokoll wurde speziell so konzipiert, dass Benutzerpasswörter in der einen oder anderen Form nicht über das Netzwerk übertragen werden. Zu diesem Zweck verschlüsselt der Benutzer die Authentifizierungsanforderung auf seinem Computer mit seinem Kennwort. Als Antwort stellt ihm das Key Distribution Center (ein spezieller Dienst, der auf dem Domänencontroller gehostet wird) ein Ticket aus, um andere Tickets zu erhalten. Das sogenannte Ticket Granting Ticket (TGT). Jetzt gilt der Kunde als authentifiziert und kann innerhalb von 10 Stunden Tickets für den Zugriff auf andere Dienste beantragen. Dementsprechend kann der Angreifer, wenn ein angreifender Hash eines Benutzers, der Mitglied einer vertrauenswürdigen Gruppe eines für ihn interessanten Dienstes ist, beispielsweise eines ERP-Systems oder einer Datenbank, einen Pass für sich selbst ausstellen und sich erfolgreich bei dem für ihn interessanten Dienst anmelden.



    Wie erkennt man


    Wenn der Angreifer für diesen Angriff die PowerShell-Version von mimikatz verwendet, kann die Protokollierung des gesamten Skripts Abhilfe schaffen. Denn "Invoke-Mimikatz" ist eine sehr charakteristische Linie.





    Oder 4688 ist ein Prozessstartereignis mit erweiterter Befehlszeilenüberwachung. Selbst wenn der Binar umbenannt wird, finden wir in der Befehlszeile einen Befehl, der für Mimikatz sehr charakteristisch ist.



    Overpass-the-Hash-Verkehr kann anhand einer Anomalie erkannt werden, die sich aus der Tatsache ergibt, dass Microsoft die Verwendung der Authentifizierungsanforderung AES256 zur Verschlüsselung aktueller Domänen empfiehlt. Und mimikatz verschlüsselt beim Senden von Authentifizierungsanforderungsdaten die Daten mit dem veralteten ARCFOUR.



    Im Verkehr ist ein weiterer Unterschied aufgrund der Merkmale von Mimikatz zu beobachten. Es basiert auf dem Unterschied in der Chiffre-Suite in der legitimen Domäne und dem, was Mimikatz sendet.

    Goldenes Ticket


    Was kann ein Angreifer tun, wenn er einen Passwort-Hash eines speziellen Kontos namens krbtgt hat? Früher haben wir den Fall betrachtet, in dem der Benutzer möglicherweise nicht privilegiert ist. Nun überlegen wir uns einen Benutzer mit einem Passwort-Hash, von dem absolut alle Tickets für andere Tickets (TGT) signiert sind. Dementsprechend ruft der Angreifer das Key Distribution Center nicht mehr an, sondern generiert dieses Ticket selbst, da das Golden Ticket im Wesentlichen TGT ist. Dann kann es Authentifizierungsanforderungen an jeden Dienst innerhalb von AD senden und dies auf unbegrenzte Zeit. Infolgedessen wendet er sich frei dieser Ressource zu - das Golden Ticket heißt nicht ohne Grund golden.



    Erkennen anhand von Ereignissen


    Es gibt Ereignis 4768, das angibt, dass ein TGT ausgestellt wurde, und Ereignis 4769, das angibt, dass ein Serviceticket ausgestellt wurde, das für die Authentifizierung für einen Dienst in AD erforderlich ist.



    Hier können wir den Unterschied ausnutzen: Während des Angriffs fordert Golden Ticket kein TGT vom Domänencontroller an (es generiert es selbst) und muss TGS anfordern. Wenn wir dann den Unterschied zwischen dem empfangenen TGT und TGS feststellen, können wir davon ausgehen, dass der Golden Ticket-Angriff stattfindet.

    In MaxPatrol SIEM konnten wir mithilfe von Tabellenlisten, in denen wir alle ausgegebenen TGT und TGS protokollieren, eine solche Erkennung implementieren.

    WMI-Remoteausführung


    Nachdem die Authentifizierungs- und Autorisierungsaufgabe auf den gewünschten Hosts gelöst wurde, kann der Angreifer damit beginnen, Aufgaben remote auszuführen. WMI als integriertes und für diesen Mechanismus entwickeltes System passt perfekt. In den letzten Jahren bedeutet „vom Land leben“, die eingebauten Windows-Mechanismen in einem Trend zu nutzen. Erstens, weil Sie sich so als legitime Aktivität tarnen können. Im Screenshot die Verwendung des eingebauten wmic-Dienstprogramms. Es gibt die Adresse des Hosts an, zu dem Sie eine Verbindung herstellen möchten, Anmeldeinformationen, die Anweisung zum Erstellen eines Prozessaufrufs und den Befehl, der auf dem Remote-Host ausgeführt werden muss.





    Wie erkennt man


    Auf einer Reihe von Remote - Anmeldeereignissen von 4624 (at- genannt
    manie bei Anmelde - ID) und Ereignisse 4688, über den Start des Prozesses in die Befehlszeilen zu sprechen. 4688 - Sie können sehen, dass das übergeordnete Element des ausgeführten Prozesses WmiPrvSE.exe ist, ein spezieller WMI-Dienstprozess, der für die Remoteverwaltung verwendet wird. Der Befehl, den wir net user / add gesendet haben, ist sichtbar und die Anmelde-ID stimmt mit Ereignis 4624 überein. Dementsprechend können wir genau sagen, von welchem ​​Host dieser Befehl ausgeführt wird.



    Verkehrserkennung


    Hier sehen wir deutlich die charakteristischen Wörter des Win32-Prozesses create sowie die Befehlszeile, die zum Starten gesendet wird. Im Screenshot haben wir kürzlich eine Malware getroffen, die nach einem ähnlichen Prinzip wie WannaCry in virtuellen Netzwerken verbreitet wurde, aber anstelle der Verschlüsselung einen Miner installierte. Malvar trug Mimikatz und EthernalBlue bei sich, sie löschte die Konten und benutzte sie für alle Hosts, die sie im Netzwerk erreichen konnte. Mit WMI startete sie PowerShell und lud PowerShell-Payload herunter, die wiederum Mimikatz, EthernalBlue und den Miner enthielt. So wurde eine Kettenreaktion erhalten.



    Empfehlungen für die Stufen 1-3


    1. Lange und komplexe Kennwörter (> 25 Zeichen) für Dienstkonten. Dies lässt einem Angreifer keine Chance, einen Kerberoasting-Angriff auszuführen Es wird sehr lange dauern, bis sie brutal sind.

    2. PowerShell protokollieren . Hilfe die Verwendung von vielen modernen Tools erfassen die AD angreifen

    3. Übertragung auf Windows 10, Windows Server 2016. Microsoft erstellt Credential Schutz: Nein wird mehr in der Lage sein zu sdampit Speicher NTLM-Hash und Karten für die Kerberos

    4. Strikte Abgrenzung der Rollen . Es ist gefährlich, den Administrator von AD, DC, allen Servern und Arbeitsmaschinen in einer Rolle zu kombinieren.

    5. Doppelte Kennwortänderung krbtgt (dies ist das gleiche Konto, für das sich TGT-Tickets anmelden). Jährlich. Und nachdem der AD-Administrator AD verlassen hat:
    • müssen zweimal gewechselt werden, weil Das aktuelle und das vorherige Passwort werden gespeichert.
    • jedes Jahr wechseln, inkl. nach dem Verlassen des Domain-Administrators. Auch wenn das Netzwerk bereits kompromittiert ist und die Angreifer das Goldene Ticket ausgestellt haben, macht das Ändern des Passworts dieses Ticket unbrauchbar. Und wieder müssen sie von vorne anfangen.

    6. Sicherheitsfunktionen mit einer ständig aktualisierten Experten-Wissensdatenbank . Es ist notwendig, echte tatsächliche Angriffe zu erkennen.

    Phase 4. Domänenerfassung


    DCShadow


    Am 24. Januar 2018 stellten Benjamin Delpy und Vincent Le Toux auf der Microsoft BlueHat-Konferenz in Israel das neue Mimikatz-Modul vor, das den DCShadow-Angriff implementiert. Der Kern des Angriffs besteht darin, dass ein gefälschter Domänencontroller erstellt wird, um Objekte in AD durch Replikation zu ändern und neu zu erstellen. Den Forschern ist es gelungen, den minimalen Satz von Kerberos-SPNs zu isolieren, die für den Replikationsprozess erforderlich sind - sie benötigen lediglich 2. Außerdem haben sie eine spezielle Funktion eingeführt, mit der die Replikation von Controllern erzwungen werden kann. Die Autoren des Angriffs positionieren ihn als Angriff, der Ihr SIEM blind macht. Weil Ein gefälschter Domänencontroller sendet keine Ereignisse an SIEM. Dies bedeutet, dass Angreifer verschiedene dunkle Vorgänge mit AD ausführen können und SIEM nichts davon weiß.



    Angriffsmuster


    Auf dem System, mit dem der Angriff ausgeführt wird, müssen 2 SPNs hinzugefügt werden, damit sich andere Domänencontroller mithilfe von Kerberos für die Replikation authentifizieren können. Weil Gemäß der Spezifikation wird der Domänencontroller in der AD-Datenbank durch ein Objekt der Klasse nTDSDSA dargestellt. Es ist erforderlich, ein solches Objekt zu erstellen. Rufen Sie abschließend die Replikation mit der Funktion DRSReplicaAdd auf.

    Wie erkennt man


    Wie DCShadow im Verkehr aussieht. Durch den Datenverkehr wird deutlich, dass dem Konfigurationsschema des Domänencontrollertyps ein neues Objekt hinzugefügt wurde, und die Replikation muss gestartet werden.



    Aufgrund der Tatsache, dass unsere Korrelation die Liste der legitimen Domänencontroller kennt, wird sie ausgelöst, wenn die Replikation von einem Domänencontroller erfolgt, der nicht zu diesem White gehört die Liste. Dementsprechend kann die Abteilung für Informationssicherheit eine Untersuchung durchführen und bereits nachvollziehen, dass es sich um einen legitimen Domänencontroller handelt, den der IT-Dienst hinzugefügt hat, oder um einen DCShadow-Angriff.

    Fazit


    Das DCShadow-Beispiel zeigt, dass es neue Angriffsmethoden für Unternehmen gibt. In diesem Ozean von Informationssicherheitsereignissen ist es sehr wichtig, auf dem Höhepunkt der Welle zu bleiben: Schauen Sie weiter und bewegen Sie sich schnell. Täglich erforschen wir im PT Expert Security Center neue Bedrohungen und entwickeln Erkennungsmethoden und -tools für diese. Und wir sind bereit, diese Informationen weiterzugeben. Gepostet

    von Anton Tyurin, Leiter des Teams für Angriffserkennung, Positive Technologies

    Jetzt auch beliebt: