Die Five Eyes Alliance, geführt von der Australische Signaldirektion (ASD)veröffentlichte vor kurzem ein wichtiges Dokument mit dem Titel Erkennen und Eindämmen Active Directory Kompromisse, was auf den Anstieg von Ransomware-Angriffen auf Active Directory Umgebungen, insbesondere in der Region APAC. In diesem Blog untersuchen wir einige der häufigsten in der Anleitung beschriebenen Kompromisse und zeigen auf, wie Silverfort kann helfen.
Was ist die Erkennung und Milderung Active Directory Kompromisse bei der Orientierung?
Die Anleitung zur Erkennung und Minderung Active Directory Kompromisse beschreibt gängige Taktiken, Techniken und Verfahren (TTPs), die von Angreifern verwendet werden, um Active Directory Infrastruktur und bietet Minderungsstrategien. Diese Anleitung ist eine zeitgemäße Reaktion auf die wachsende Abhängigkeit von Identitätsbedrohungen in Ransomware- Angriffe im Asien-Pazifik-Raum, darunter einige bemerkenswerte Verstöße:
Der MediSecure-Ransomware-Angriff (November 2023, Enthüllung im Juli 2024)
MediSecure, ein in Australien ansässiges Unternehmen für digitale Rezepte, wurde letztes Jahr Opfer eines Ransomware-Angriffs die Gesundheits- und persönliche Informationen von fast 13 Millionen Menschen offenlegte. Dies führte auch dazu, dass das Unternehmen Insolvenz anmeldete. Der Verstoß schien von einem der MediSecure- Drittanbieter, was darauf schließen lässt, dass die Angreifer möglicherweise mithilfe kompromittierter Anmeldeinformationen Zugriff auf die Daten von MediSecure erlangt haben.
Ransomware-Angriff auf den Hafen von Nagoya (Juli 2023)
Ein Angriff, der dem Die LockBit-Gruppe störte Handel und Logistik im Hafen von Nagoya, dem geschäftigsten Schifffahrtshafen Japans – ein wichtiger Knotenpunkt für Autoexporte und ein wichtiger Motor für die japanische Wirtschaft. Zwei Tage gingen durch den Angriff verloren, der die Fähigkeit des Hafens, Schiffscontainer anzunehmen, einschränkte. Obwohl nicht öffentlich bekannt gegeben wurde, wie LockBit sich den ersten Zugang verschaffte, Ransomware- Die Strategie basiert in der Regel auf Phishing-E-Mails und dem Kauf gestohlener Anmeldeinformationen. Sobald sie Zugriff auf das Netzwerk erhalten, bewegen sie sich seitlich vorwärts, extrahieren weitere Anmeldeinformationen, erhöhen ihre Berechtigungen, erweitern ihren Zugriff und verschlüsseln kritische Daten. In diesem Fall wurde das Nagoya United Terminal System (NUTS), das den Containerbetrieb verwaltet, kompromittiert. In der Lösegeldforderung der Angreifer hieß es, Daten von NUTS seien verschlüsselt worden, und es wurde ein Lösegeld gefordert.
Der ICBC-Angriff (November 2023)
Die Industrial and Commercial Bank of China (ICBC), der nach Vermögenswerten größte Kreditgeber der Welt, wurde von einem Ransomware-Angriff getroffen richtete sich gegen die Finanzdienstleistungsabteilung der Bank, US ICBC Financial Services. Es wurde berichtet, dass der Angriff erhebliche Störungen bei Treasury Trades verursacht habe. Berichten zufolge verschafften sich die Angreifer unbefugten Zugriff auf ICBC, indem sie eine Citrix NetScaler ADC- und NetScaler Gateway-Sicherheitslücke namens „Citrix Bleed“ ausnutzten. Die Ausnutzung dieser Sicherheitslücke, warnt CISA (die US-amerikanische Cybersecurity and Infrastructure Security Agency)„könnte zur Offenlegung vertraulicher Informationen führen, darunter Informationen zum Token zur Sitzungsauthentifizierung, die es einem Bedrohungsakteur ermöglichen könnten, die Sitzung eines Benutzers zu ‚kapern‘.“
In der Anleitung beschriebene häufige AD-Kompromisse
Während sie über 15 AD-bezogene Kompromisse beschrieben haben, konzentrieren wir uns auf einige der häufigsten, nämlich Kerberoasting, AS-REP Roasting, Password Spraying, Uneingeschränkte Delegation, und AD CS-Kompromiss.
Kerberasting
Was ist Kerberasting?
Kerberasting nutzt das Kerberos-Authentifizierungsprotokoll. Kerberoasting zielt insbesondere auf Service Accounts, wobei die Tatsache ausgenutzt wird, dass jeder authentifizierte Benutzer Ticket Granting Service (TGS)-Tickets für jeden Dienst anfordern kann. Angreifer fordern TGS-Tickets an, die mit Service Principal Names (SPNs) verknüpft sind, und knacken dann offline die verschlüsselten Tickets, um an Passwörter zu gelangen. Auf diese Weise können sie unbemerkt auf eingeschränkte Bereiche zugreifen.
Wie Silverfort Hilft bei der Erkennung und Abwehr von Kerberoasting in Echtzeit
Detection
- Verfolgen Sie Serviceanforderungen an Benutzer mit SPNs und erkennen Sie Kerberoasting-Angriffe mithilfe der Anomalieerkennung.
- Überwachen Sie verdächtige MFA-Ablehnungen und Virtual-Fencing-Verstöße, um kompromittierte Zugangsdaten.
Echtzeitschutz
- Service-Ticket-Anfragen, die als Kerberoasting identifiziert wurden, automatisch ablehnen
- Durchsetzen MFA Richtlinien für menschliche Konten und virtuelle Abgrenzung für Dienstkonten, um Identitätsmissbrauch zu verhindern.
Überblick über Kerberoasting (Quelle: Erkennen und Mildern von Microsoft Active Directory Kompromisse)
AS-REP Rösten
Was ist AS-REP-Röstung?
Authentication Server Response (AS-REP) Roasting ist eine Angriffsmethode, die auf Benutzerobjekte abzielt, die so konfiguriert sind, dass sie keine Kerberos- Vorauthentifizierung. Wenn es einem Angreifer gelingt, ein AS-REP-Ticket zu knacken, das mit dem Passwort-Hash eines Benutzers verschlüsselt ist, kann er das Klartext-Passwort des Benutzers erhalten und sich als dieser Benutzer authentifizieren.
Wie Silverfort Hilft bei der Erkennung und dem Schutz vor AS-REP-Roasting in Echtzeit
Detection
- Silverfort erkennt AS-REP-Anfragen ohne Vorauthentifizierung und kennzeichnet verdächtige AD-Authentifizierung Versuche.
- Überwachen Sie verdächtige Muster von MFA Ablehnungen und Verstöße gegen virtuelle Zäune, um erfolgreiche AS-REP-Roasting-Versuche zu erkennen.
Echtzeitschutz
- Legen Sie MFA-Richtlinien für menschliche Konten und virtuelles Fencing für fest Service Accounts zur Verteidigung gegen AS-REP-Roasting.
- Authentifizierungen ohne Vorauthentifizierung automatisch ablehnen.
Überblick über AS-REP Roasting (Quelle: Detecting and Mitigating Microsoft Active Directory Kompromisse)
Passwort sprühen
Was ist Passwortspritzen?
Beim Password Spraying versuchen Angreifer, sich mit unterschiedlichen Passwortkombinationen bei mehreren Benutzern zu authentifizieren, bis ihnen dies gelingt. Diese Passwörter können aus öffentlichen Passwortlisten stammen oder in der Zielumgebung wiederverwendet werden. Es kann sogar sein, dass dasselbe Passwort für mehrere Konten verwendet wird.
Wie Silverfort Hilft bei der Erkennung und dem Schutz vor Password Spraying in Echtzeit
Detection
- Erkennen Sie Brute-Force-Versuche durch die Verfolgung wiederholter AD-Authentifizierung Fehler über mehrere Konten hinweg.
- Überwachen Sie ungewöhnliche Aktivitäten im Zusammenhang mit integrierten Administratorkonten, die häufige Ziele von Password-Spraying-Versuchen sind.
- Überwachen Sie die Aufzählung mehrerer SMB-Ressourcen. Diese Technik wird häufig verwendet, um Anmeldeinformationen in ungeschützten Dateifreigaben zu ermitteln.
Echtzeitschutz
Die Anleitung beschreibt MFA als eine effektive Methode, um Password Spraying zu verhindern, wenn Angreifer versuchen, sich einen ersten Zugang zu verschaffen. Sobald sie sich jedoch bereits Zugang verschafft haben, ist die Methode nicht mehr so effektiv, da sie sich dann direkt beim Domänencontroller (DC) mit dem NTLM Protokoll, das MFA nicht unterstützt.
Es ist zwar wahr, dass NTLM unterstützt MFA nicht, heißt das nicht, dass es keinen Weg daran vorbei gibt. Tatsächlich gibt es das, und es ist Teil unserer Integration mit Active Directory. Ohne dass Änderungen erforderlich sind, leitet AD jede Zugriffsanforderung für eine zweite Meinung an uns weiter. Auf diese Weise können wir die MFA-Verifizierung für alle Ressourcen erzwingen, die AD verwenden, einschließlich Legacy-Systemen und lokaler Infrastruktur, die NTLM verwenden.
- Sichern Sie menschliche Konten durch die Implementierung von MFA und Service Accounts mit virtuellem Fechten.
- Reduzieren Sie wo immer möglich die Verwendung von NTLM sowie NTLMV1, LDAP und anderen schwachen Protokollen.
- Erzwingen Sie MFA-Verifizierungsrichtlinien für ältere Protokolle wie NTLM.
Uneingeschränkte Delegation
Was ist Uneingeschränkte Delegation?
Bei uneingeschränkter Delegierung kann ein Computerobjekt jeden authentifizierten Benutzer annehmen und auf jeden Dienst zugreifen. Wenn sich ein Benutzerobjekt bei einem Computerobjekt mit uneingeschränkter Delegierung authentifiziert, wird eine Kopie des TGT des Benutzers lokal gespeichert.
Wenn ein Angreifer lokalen Administratorzugriff auf einen Computer erhält, der für uneingeschränkte Delegierung konfiguriert ist, kann er die TGTs für jedes Benutzerobjekt extrahieren, das sich zuvor gegenüber dem Computerobjekt authentifiziert hat. Der Angreifer kann diese TGTs dann verwenden, um sich als andere Benutzerobjekte in der Domäne auszugeben, einschließlich Domänenadministratoren.
Wie Silverfort Hilft bei der Erkennung und Abwehr ungehinderter Delegation in Echtzeit
Detection
- Die TGTs von Benutzern können gestohlen werden, wenn sie sich gegenüber Computern authentifizieren, die mit uneingeschränkter Delegierung konfiguriert sind.
- Verwenden Sie Deny/Notify/MFA-Richtlinien, um Computer mit uneingeschränkter Delegierung auf verdächtige MFA-Ablehnungen und Verstöße gegen virtuelle Fencing-Regeln zu überwachen.
Echtzeitschutz
- Richten Sie eine Deny/MFA-Richtlinie für Authentifizierungen gegenüber Computern mit uneingeschränkter Delegierung ein.
- Setzen Sie MFA-Richtlinien für menschliche Konten und die Abgrenzung von Dienstkonten durch, um Identitätsdiebstahl zu verhindern.
AD CS-Kompromiss
Was ist ein AD CS-Kompromiss?
Anzeige CS (Active Directory Certificate Services (Zertifikatdienste) wird für die Ausgabe und Verwaltung von Public Key Infrastructure (PKI)-Zertifikaten verwendet, die häufig zu Authentifizierungszwecken (sowie zu anderen Zwecken wie Verschlüsselung und digitalem Signieren von Dokumenten, aber das hat nichts mit unserem Thema zu tun) verwendet werden. AD CS Certificate Authority (CA) bietet eine Vielzahl von Zertifikatvorlagen, mit denen Benutzer und Computer Zertifikate für verschiedene Zwecke erhalten können.
Eine der häufigsten Angriffsmethoden bei AD CS ist die Ausnutzung falsch konfigurierter Vorlagen wie ESC1. Mit der Vorlage ESC1 kann jeder Benutzer ein Zertifikat im Namen eines anderen Benutzers anfordern. Auf diese Weise können sich Angreifer als dieser Benutzer authentifizieren und dessen Berechtigungen übernehmen.
Wie Silverfort Hilft bei der Erkennung und Abwehr von AD CS-Kompromittierungen in Echtzeit
Detection
- Silverfort überwacht verdächtige Authentifizierungen. Insbesondere TGT-Anfragen, bei denen ein Zertifikat verwendet wurde.
Echtzeitschutz
- Wenn die zertifikatsbasierte Authentifizierung in Ihrer Organisation nicht weit verbreitet ist, schränken Sie ihre Verwendung mit einer Ablehnungsrichtlinie ein.
- Stellen Sie sicher, dass MFA für menschliche Konten und virtuelles Fencing für Dienstkonten aktiviert ist.
Was kommt als Nächstes?
Die gute Nachricht ist: Trotz aller Dunkelheit gibt es Lichtblicke: Alle diese Angriffe sind tatsächlich erkennbar und können eingedämmt werden. Für jeden Angriff gibt es eine detaillierte Gegenstrategie, die unter anderem die Einschränkung privilegierter Zugriffe, die Durchsetzung starker Authentifizierungsverfahren und die Minimierung der Risiken veralteter Protokolle umfasst.
Unterm Strich: Der Umgang mit Active Directory Bedrohungen erfordern direkte und aktive Maßnahmen. Es geht darum, die Mechanismen der Angreifer zu identifizieren und zu verhindern. Hat jemand „Erkennen und Eindämmen“ gesagt?