Jenseits des Tores: Zero Trust und die Verteidigung von Active Directory

Als Marks & Spencer im vergangenen April den Strom abstellte, war das nicht einfach nur ein weiterer Stromausfall. Der britische Einzelhändler hatte seine Online-Dienste abgeschaltet, um einen Ransomware-Angriff auf sein zentrales Identitätsmanagement-System einzudämmen.

Die Forscher bringen den Vorfall nun mit Scattered Spider in Verbindung, einer losen Gruppe von Angreifern aus Großbritannien und den USA, von denen einige erst 16 Jahre alt sind. Die Gruppe nutzte DragonForce, einen Partnerdienst für Ransomware , der Cyberangriffe so einfach macht wie das Mieten von Malware und Erpressungswerkzeugen.

Als ob das nicht schon genug wäre, kontaktierte DragonForce sogar direkt den CEO von M&S, Stuart Machin, per E-Mail , prahlte mit dem Datenleck und forderte eine Zahlung.

Das Besondere an diesem Vorfall war nicht das Motiv, sondern die Präzision. Anstatt sich auf Endbenutzersysteme zu konzentrieren, arbeiteten sich die Angreifer durch das Netzwerk zum Domänencontroller vor – dem System, das Identität und Vertrauen im gesamten Unternehmen regelt.

Dies spiegelt einen allgemeineren Trend wider: Ransomware-Gruppen zielen zunehmend auf die Identitätsinfrastruktur ab, um ihre Angriffe zu beschleunigen. Das Verständnis dafür, wie dieser Wandel vonstatten ging – und wie er gestoppt werden kann – zeigt, warum die Identität zum zentralen Thema der modernen Ransomware-Abwehr geworden ist.

‍

‍

‍

Wenn der Kern der Identität unsicher ist

Die Ermittler haben bestätigt , dass die Angreifer von M&S die NTDS.dit- Datei – das Kronjuwel von Microsoft Active Directory – exfiltriert haben.  

Active Directory läuft auf Domänencontrollern – den Servern, die das gesamte Identitätssystem speichern und durchsetzen. Einfach ausgedrückt: Sie haben die Domänencontroller-Datenbank gestohlen, das System, das darüber entscheidet, wem innerhalb eines Unternehmens vertraut werden kann, worauf diese Personen Zugriff haben und wie jedes andere System die Identität überprüft.  

Der Raubüberfall war das digitale Äquivalent dazu, eine Bank zu verlassen – nicht nur mit dem Inhalt des Tresors, sondern auch mit den Schlüsseln, den Bauplänen und der Befugnis, nach Belieben neues Geld zu drucken.  

Der Angriff hat eine Realität offengelegt, die Unternehmen möglicherweise nicht öffentlich zugeben möchten: Angreifer wissen, dass die Kompromittierung eines Domänencontrollers der schnellste und zuverlässigste Weg ist, um in ein ganzes Unternehmen einzudringen.

Der Angriff auf M&S zeigt auch , wie moderne Bedrohungsakteure oft denken. Sobald sie in ein Netzwerk eingedrungen sind, verweilen sie nicht auf Endbenutzerrechnern oder suchen nach verstreuten Servern, die sie verschlüsseln können. Sie konzentrieren sich oft laserartig darauf, einen Weg zum Domänencontroller zu finden.

Dies liegt daran, dass Active Directory das System ist, das alles zusammenhält – Benutzerkonten, Dienstkonten, Berechtigungen, Authentifizierungstickets und die Vertrauensbeziehungen, die riesige Unternehmensumgebungen verbinden. Diesen Weg hätte ein Zero-Trust- Ansatz versperrt.

„Wer den Domänencontroller kontrolliert, kontrolliert die Identitätsinfrastruktur der Organisation“, sagte Michael Adjei, Leiter der Systementwicklung bei Illumio. „Man kann sich selbst sogenannte gottgleiche Berechtigungen erteilen.“ „die Kontrolle über jedes System zu erlangen, das ihm vertraut.“

Diese Erkenntnis deckt sich mit Warnungen der CISA.

„Wenn ein Angreifer den Domänencontroller erreicht, erhält er nicht nur Zugriff.“ „Sie erben das gesamte Identitätsgefüge der Organisation“, sagte Adjei. „Konten, Berechtigungen, Token, Dienstanmeldeinformationen: Alles läuft über Active Directory.“  

Der Datendiebstahl bei Change Healthcare: Ein Fußabdruck, den niemand stoppte

Etwas Ähnliches ereignete sich bei einem Datenleck bei Change Healthcare , das im Februar 2024 aufgedeckt wurde und zu den größten Cyberangriffen im Gesundheitswesen in der Geschichte der USA zählt.

Die Angreifer, bei denen es sich vermutlich um Mitglieder von ALPHV Blackcat handelt, verschafften sich zunächst Zugang über einen Remote-Server, der keine Multi-Faktor-Authentifizierung bot. Dann bewegten sie sich seitlich durch die Umgebung, erweiterten ihre Berechtigungen und erreichten schließlich Systeme, die mit der zentralen Identitätsinfrastruktur des Unternehmens verbunden waren.

Die Folgen waren katastrophal: wochenlange Stromausfälle, Verluste in Milliardenhöhe, landesweite Störungen im Apothekenwesen und die Offenlegung von Daten, von denen fast 200 Millionen Menschen betroffen waren.

Der CEO der UnitedHealth Group, Andrew Witty, zahlte das Lösegeld, angeblich etwa 22 Millionen Dollar in Bitcoin.  

Die Zahlung brachte die Daten jedoch nicht zurück. Witty bestätigte, dass Change Healthcare nichts zurückerhalten hat – ein bekanntes Ergebnis bei Ransomware- Fällen und ein wichtiger Grund, warum Experten davor warnen, überhaupt zu zahlen.  

Das US-Außenministerium bietet 15 Millionen Dollar für Informationen, die helfen, die Anführer von ALPHV/BlackCat zu identifizieren oder aufzuspüren.

Wie sich die Sicherheitslücke beschleunigt: Weg zum Domänencontroller

Der Vorfall verdeutlicht die wahren Kosten eines Versagens der Identitätsschicht in Verbindung mit fehlenden Zero-Trust-Kontrollen: eine Sicherheitslücke, ein schneller lateraler Angriff und landesweite Störungen, die durch kein Lösegeld rückgängig gemacht werden können.

Sobald die Angreifer im System sind, müssen sie nicht jedes System angreifen – sie benötigen lediglich einen Ost-West-Pfad des geringsten Widerstands ohne Kontrollmechanismen.  

Da es nichts gibt, was den Einbruch eindämmen könnte, bewegen sie sich seitlich in Richtung des Domänencontrollers, übernehmen die Kontrolle über die zentralen Identitätssysteme des Opfers und machen aus einem einzigen Einstiegspunkt eine vollständige Kompromittierung.

Adjei erklärte, dass die meisten Angriffe auf Domänencontroller mit etwas Kleinem beginnen, wie etwa einem ungepatchten System, einer falsch konfigurierten Identitätskontrolle oder einem alten Dienstkonto mit zu vielen Berechtigungen. Diese Sicherheitslücken bieten Angreifern einen ruhigen Ausgangspunkt und die Möglichkeit, die Umgebung von innen heraus zu kartieren.

Von da an sieht die Aufklärung gewöhnlich aus: Gruppenabfragen, Domänenvertrauensprüfungen, Kerberos-Abfragen und Dienstaufzählung. Keiner dieser Faktoren löst allein einen Alarm aus. Zusammengenommen offenbaren diese Schritte jedoch das wichtigste Ziel im Netzwerk: den Domänencontroller und die Identitäten, die ihn erreichen können.

„Die Gefahr besteht darin, dass viele Organisationen annehmen, ihr Domänencontroller sei sicher, weil er durch Überwachung oder physische Isolation geschützt ist“, sagte Adjei. „Aber Angreifer gehen selten direkt vor.“ Sie folgen jedem internen Weg, der sich ihnen bietet – sei es eine schwache Berechtigung, ein erreichbares System oder ein flaches Ost-West-Netzwerk, das ihre Bewegungsfreiheit niemals einschränkt.“  

Das Muster bei den Sicherheitsvorfällen sowohl bei M&S als auch bei Change Healthcare macht deutlich: Wenn Angreifer Zugriff auf Active Directory erhalten, ist eine Eskalation unvermeidlich.

„Sie brauchen eine grafische Darstellung, nicht nur Protokolle“, sagte Adjei. „Man muss die Beziehungen zwischen den Entitäten verstehen – wie Konto A mit System B kommuniziert, das sich über den Domänencontroller authentifiziert.“ Hier wird die Abhängigkeitsanalyse entscheidend.“

Sicherung des Identitätskerns durch Segmentierung

Domänencontroller können nicht in einem offenen Netzwerk betrieben werden. Wenn alles sie erreichen kann, können es auch Angreifer.  

Die Segmentierung schafft einfache, starke Zero-Trust-Grenzen um diese Systeme. Es blockiert unnötigen Ost-West-Verkehr und beseitigt die einfachen Wege, die Angreifer nutzen, um tiefer in das Netzwerk vorzudringen.

Der erste Schritt besteht darin, zu erkennen, wie alles zusammenhängt. Erstellen Sie eine Übersicht, welche Systeme mit Active Directory kommunizieren und welche Konten davon abhängig sind. Mit dieser Vorgehensweise können Sie den Zugriff einschränken, sodass nur die Systeme, die den Domänencontroller wirklich benötigen, ihn erreichen können.

Ein Zero-Trust-Ansatz zur Segmentierung sollte auch in jeder Umgebung funktionieren – Cloud, Rechenzentrum und Endgeräte. Ohne diese Möglichkeit könnten Angreifer theoretisch durch alle diese Systeme vordringen.  

Ein segmentierter Identitätskern verhindert, dass aus einer kleinen Sicherheitslücke eine vollständige Kompromittierung wird.

Verbesserung der Erkennung und Reaktion auf Seitwärtsbewegungen

Die meisten Angriffe werden erst nach dem ersten Erfolg ernst.  

Deshalb muss die Erkennung über den anfänglichen Sicherheitsvorfall hinausgehen. Starke Sicherheit beginnt mit einem klaren Kontext: Sie müssen erkennen, wie Workloads, Konten und der Domänencontroller miteinander in Beziehung stehen.

Als Nächstes sollten Sie sich auf die Signale der Seitwärtsbewegung konzentrieren. Dazu gehören seltsame Verbindungen zwischen Systemen, ungewöhnliche Verkehrsmuster oder eine Identität, die etwas erreicht, das sie niemals berührt. Wenn die Erkennung nur die wichtigen Ereignisse hervorhebt, können Teams schneller und mit weniger Störungen handeln.

Der letzte Schritt ist die schnelle Eindämmung. Erkennung und Segmentierung sollten zusammenarbeiten, um ein System zu isolieren, sobald es sich risikoreich verhält. Dies hindert einen Angreifer daran, sich dem Identitätskern zu nähern und verringert den Wirkungsradius eines möglichen Sicherheitsvorfalls.

Testen Sie Illumio Insights noch heute kostenlos und erfahren Sie, wie Sie Domänencontroller-Angriffe erkennen und stoppen können, bevor sie sich ausbreiten.