Die jüngsten Untersuchungen von Microsoft rücken eine gefährliche Post-Exploitation-Technik in den Fokus, die Golden dMSA. Diese neue Angriffsmethode missbraucht den Zugriff auf SYSTEM-Ebene auf Domänencontroller, um persistente Nutzlasten auszuführen, darunter Ransomware, die auf den Kern von Active DirectoryDurch die Entführung delegierter Managed Service Accounts (dMSAs) können Angreifer Zugriff erlangen, ohne herkömmliche Anmeldeinformationen kompromittieren zu müssen.
Ursprünglich eingeführt in Windows Server 2025, delegierte verwaltete Dienstkonten (dMSAs) stellen einen großen Fortschritt in der Sicherheit von Dienstkonten dar. Während statische passwortbasierte Konten weiterhin anfällig für Kerberoasting-Angriffe, dMSAs verschieben das Authentifizierungsmodell, indem sie den Zugriff direkt an verifizierte Maschinen binden in Active Directory (ANZEIGE).
Dieser maschinenzentrierte Ansatz eliminiert Diebstahl von Anmeldeinformationen Indem der Zugriff an die Geräteidentität und nicht an benutzerverwaltete Passwörter gebunden wird, wird sichergestellt, dass nur ausdrücklich autorisierte Maschinen das Konto nutzen können. Bei Missbrauch in Post-Exploitation-Szenarien können dMSAs jedoch von Angreifern verwendet werden, um innerhalb vertrauenswürdiger Infrastrukturen mit hohen Berechtigungen Schadcode auszuführen.
In diesem Blog erklären wir, wie der Golden dMSA-Angriffsfluss funktioniert, warum er mehrere Risiken birgt und wie Unternehmen ihn schützen können. Maschinenidentitäten bevor Angreifer es tun.
Was ist Golden dMSA?
Golden dMSA ist eine Post-Exploitation-Technik, die es Angreifern ermöglicht, langfristigen Zugriff zu erlangen in Active Directory (AD)-Umgebungen durch Generieren gültiger Kennwörter für delegierte verwaltete Dienstkonten (dMSAs) und gruppenverwaltete Dienstkonten (gMSAs).
Diese Methode ist sinnvoll, wenn der Angreifer bereits privilegierten Zugriff erlangt hat, z. B. Domänenadministrator- oder SYSTEM-Berechtigungen auf einem Domänencontroller. Von dort aus kann er einen Fehler in der Art und Weise ausnutzen, wie diese Dienstkonto Passwörter werden generiert. Der Prozess umfasst vorhersehbare, zeitbasierte Elemente mit begrenzter Variabilität, wodurch das Reverse Engineering und die Reproduktion der richtigen Passwörter einfach wird.
Angreifer können dann offline Anmeldeinformationen generieren und sich in der gesamten Domäne als kritische Dienstkonten ausgeben, wobei sie normale Sicherheitskontrollen und Kennwortrotationsmechanismen umgehen.
So läuft ein Golden dMSA-Angriff ab
Ein Golden dMSA-Angriff beginnt typischerweise, nachdem ein Angreifer in der Umgebung Fuß gefasst und seine Berechtigungen erweitert hat. Von dort aus ermöglicht die Methode verdeckte Persistenz und umfangreiche lateraler Bewegung ausnutzen über Active Directory.
So läuft der typische Golden-dMSA-Angriff ab:
1. Erstzugriff und Rechteerweiterung
Der Angreifer kompromittiert ein System innerhalb der Domäne und erlangt Zugriff auf Domänenadministrator- oder SYSTEM-Ebene auf einem Domänencontroller, häufig durch Phishing, Diebstahl von Anmeldeinformationen oder Ausnutzen von Fehlkonfigurationen.
2. Extraktion des KDS-Root-Schlüssels
Mit privilegiertem Zugriff extrahiert der Angreifer den Key Distribution Services (KDS)-Root-Schlüssel, ein kritisches kryptografisches Geheimnis, das von Active Directory um Passwörter für verwaltete Dienstkonten zu generieren.
3. Aufzählung der Dienstkonten
Der Angreifer identifiziert delegierte Managed Service Accounts (dMSAs) und Group Managed Service Accounts (gMSAs) im gesamten Forest. Dazu werden in der Regel Kontonamen und zugehörige Kennungen mithilfe von LDAP oder anderen Verzeichnistools abgefragt.
4. Offline-Passwortgenerierung
Aufgrund einer Schwäche im Algorithmus zur Kennwortgenerierung kann der Angreifer die Werte mithilfe von Brute-Force-Methoden ermitteln und mit Tools wie Golden dMSA gültige Kennwörter generieren, ohne dass Alarme ausgelöst werden.
5. Auswirkungen nach dem Exploit: Ransomware-Einsatz auf SYSTEM-Ebene
Mit den Anmeldeinformationen für die Dienstkonten kann der Angreifer erneut auf den Domänencontroller zugreifen und mit Berechtigungen auf Systemebene arbeiten. Von hier aus kann er:
- Manipulieren Sie Kernprozesse wie LSASS (z. B. zum weiteren Dumping oder Einfügen von Anmeldeinformationen).
- Einführung Ransomware- von einer zentralen, vertrauenswürdigen Maschine mit domänenweitem Zugriff.
- Wechseln Sie seitlich zu anderen Systemen und Infrastrukturen.
Diese Phase des Angriffs ist entscheidend, da von einem Domänencontroller ausgeführte Ransomware typischerweise ein breites Domänenvertrauen voraussetzt und sich schnell verbreiten kann. Die meisten EDR-Lösungen bieten nur eingeschränkten Einblick in Vorgänge auf Systemebene, insbesondere auf Domänencontrollern. Erschwerend kommt hinzu, dass die Aktivität von Dienstkonten von Standard-Sicherheitslösungen oft nicht erkannt wird.
Wie Golden dMSA herkömmliche Sicherheitslösungen umgeht
Golden dMSA ist nicht wegen seines Einbruchs besonders gefährlich, sondern wegen seiner Möglichkeiten nach dem Zugriff. Da es sich um eine Post-Exploitation-Technik handelt, sind die meisten Sicherheitslösungen zum Zeitpunkt der Ausnutzung durch den angegriffenen Domänencontroller bereits außer Reichweite.
Die Erkennung wird besonders schwierig, da Angreifer mit legitimen Anmeldeinformationen und erhöhten Berechtigungen agieren. Sobald der Angreifer Zugriff auf SYSTEM-Ebene erlangt, haben gängige Sicherheitstools wie EDR und Antivirus in diesen privilegierten Kontexten Schwierigkeiten, Transparenz zu gewährleisten oder Kontrollen durchzusetzen.
Auch laterale Bewegungen spielen eine Rolle, da sie sich in normale Administratoraktivitäten einfügen und es dadurch schwierig machen, böswillige Aktionen von routinemäßigen Domänenvorgängen zu unterscheiden. Da in dieser Phase nicht unbedingt Malware oder Exploits im Spiel sind, lösen signatur- oder verhaltensbasierte Erkennungssysteme möglicherweise überhaupt keine Warnungen aus.
Kurz gesagt: Sobald Angreifer sich im Perimeter befinden und Golden dMSA ausnutzen, bieten die üblichen Sicherheitsebenen kaum noch Widerstand, sodass eine frühzeitige Erkennung und die Absicherung von Privilegiengrenzen von entscheidender Bedeutung sind.
SilverfortGoldener dMSA-Präventionsansatz
Selbst in Post-Exploitation-Szenarien wie Golden dMSA, wo herkömmliche Sicherheitstools oft versagen, Silverfort schützt den direkten und indirekten Zugriff auf Domänencontroller mit MFA und eine strikte Durchsetzung der Zugriffsrichtlinien in Echtzeit, die Angreifer aktiv daran hindern, in die Umgebung vorzudringen.
Erzwingen von MFA für den Administratorzugriff auf Domänencontroller
Silverfort ermöglicht es Organisationen, MFA on jeder Zugriffsversuch auf Domänencontrollerdarunter:
- Remote Desktop Protocol (RDP)-Sitzungen
- PsExec Hinrichtungen
- SMB-Dateifreigabezugriff
Durch die Durchsetzung von MFA an traditionell ungeschützten Zugriffspunkten wie RDP und PsExec, Silverfort hat die Fähigkeit zu Benutzer müssen ihre Identität mit MFA verifizieren, was dazu beitragen kann, einen Angreifer daran zu hindern, sich seitlich in einer Umgebung zu bewegen. Dies unterbricht die Möglichkeit des Angreifers, die von Golden dMSA generierten Anmeldeinformationen für privilegierten Zugriff zu nutzen, und stoppt so effektiv den Fortschritt selbst nach der ersten Kompromittierung.
MFA-Schutz bei direkten Windows-Anmeldungen an Domänencontrollern
Silverfort bietet die Möglichkeit, MFA bei allen interaktiven Anmeldungen an Domänencontrollern durchzusetzen, einschließlich:
- Lokale Konsolenanmeldungen
- Remote Desktop Protocol (RDP)-Sitzungen
- Jede direkte Anmeldung mit gültigen Domänenanmeldeinformationen
Durch die Durchsetzung von MFA an diesen kritischen Zugangspunkten Silverfort verhindert den unbefugten Zugriff auf Domänencontroller, selbst wenn Angreifer über gültige Anmeldeinformationen verfügen. Diese Funktion ist besonders wichtig in Szenarien mit anmeldeinformationsbasierten Angriffen wie Golden Ticket, Pass-the-Hash oder lateraler Bewegung ausnutzen. Durch die Anforderung einer MFA beim Anmelden wird die Angriffskette frühzeitig unterbrochen, sodass Domänencontroller von Hochrisikozielen zu sicheren Endpunkten werden.
Zugriffsdurchsetzung in Echtzeit
Silverfort führt Echtzeitanalysen durch von AD-Authentifizierung Datenverkehr in der gesamten Umgebung, indem Signale von Benutzeridentität, Gerätestatus, Zugriffsprotokoll und Verhaltensmustern korreliert werden. Dies ermöglicht präzise Durchsetzungsentscheidungen auf der Identitätsebene und ermöglicht Ihnen:
- Blockieren Sie nicht autorisierte oder missbrauchte Zugriffspfade auf kritische Systeme wie Domänencontroller, selbst wenn gültige Anmeldeinformationen verwendet werden.
- Erkennt toolbasierte Anomalien wie die unerwartete Verwendung von PsExec, PowerShell oder anderen Dienstprogrammen für die laterale Bewegung, indem Abweichungen von bekannten Basiswerten für das Administratorverhalten analysiert werden.
- Unterbrechen Sie laterale Bewegungen frühzeitig, indem Sie Zugriffsrichtlinien durchsetzen, die sich an den Risikokontext anpassen, und verhindern Sie so eine Eskalation, bevor Angreifer sensible Ziele erreichen.
Virtueller Zaun zur Verhinderung seitlicher Bewegungen
Silverfort kann virtuelle Fencing-Funktionen nicht nur für Benutzer, sondern auch für nichtmenschliche Identitäten. Diese Richtlinien legen explizite Zugriffsgrenzen fest und beschränken die Bewegung basierend auf dem Identitätstyp (Benutzer- oder Dienstkonto), seiner Rolle und kontextuellen Faktoren wie Quellsystem, Zugriffsmethode und Protokoll.
Im Gegensatz zur herkömmlichen Netzwerksegmentierung, bei der es an Transparenz im Identitätskontext mangelt, Silverfort setzt Richtlinien auf der Authentifizierungsebene durch. Dies ermöglicht eine Echtzeitdurchsetzung, die anmeldeinformationsbasierte Bewegungen blockiert, selbst wenn Angreifer legitime Anmeldeinformationen oder Berechtigungen auf SYSTEM-Ebene verwenden.
SilverfortDer Ansatz von gewährleistet:
- Menschliche Benutzer können nur auf die Systeme und Workloads zugreifen, die ihnen ausdrücklich zugewiesen sind, wodurch ein flächendeckender Zugriff zwischen Domänencomputern entfällt.
- Dienstkonten, einschließlich dMSAs, gMSAs und anderer nicht-menschlicher Identitäten, unterliegen virtuellen Fencing-Schutzrichtlinien, die festlegen, mit welchen Maschinen, Diensten oder Apps sie interagieren dürfen. Jeder unbefugte Zugriffsversuch zwischen Diensten wird sofort abgelehnt.
- Laterale Bewegungen, ob durch interaktive Tools (RDP, PsExec) oder automatisierte Prozesse (geplante Aufgaben, Dienststarts), werden in Echtzeit ausgewertet und blockiert, sofern sie nicht mit vordefinierten Richtlinien übereinstimmen.
Durch die Durchsetzung dieser Kontrollen in Identitäts- und Authentifizierungsabläufen Silverfort eliminiert blinde Flecken, wo Service-Konten und privilegierte Benutzer traditionell unkontrolliert bewegen, wodurch das Risiko lateraler Bewegungen selbst in vollständig kompromittierten privilegierten Umgebungen reduziert wird.
Das Stoppen seitlicher Bewegungen beginnt auf der Authentifizierungsebene
Golden dMSA erinnert daran, dass kein Perimeter grundsätzlich sicher ist und Angreifer bei Gelegenheit Kompromisse eingehen. Die eigentliche Herausforderung besteht darin, was als Nächstes passiert, insbesondere wenn sie Domänencontroller mit Zugriff auf Systemebene erreichen.
Aus diesem Grund muss die Durchsetzung der Identität in Echtzeit im Vordergrund stehen, um den Schutz zu gewährleisten. Um sich gegen Post-Exploit-Techniken zu schützen, müssen Unternehmen Sicherheitskontrollen auf der Authentifizierungsebene anwenden, nicht nur am Endpunkt oder im Netzwerk.
Silverfort macht dies möglich. Durch die Durchsetzung Least-Privilege-Prinzip , Überwachung der Authentifizierung in Echtzeit und Kontrolle des Zugriffs auf Benutzer- und Dienstkonten, Silverfort verhindert laterale Bewegungen und Dienstmissbrauch – selbst wenn die Anmeldeinformationen legitim sind.
Erfahren Sie, wie Sie sich gegen Golden dMSA und andere identitätsbasierte Angriffe verteidigen können, indem Sie Anruf planen mit einem unserer Experten für Identitätssicherheit.