.png)
Was ist ein Domain Controller?
Ein Domänencontroller ist eine Art Computerserver, der auf Sicherheitsauthentifizierungsanfragen reagiert und Benutzer in der Domäne eines Computernetzwerks überprüft. Der Controller ist ein Gatekeeper, der dem Host den Zugriff auf Domänenressourcen ermöglicht. Er setzt auch Sicherheitsrichtlinien durch, speichert die Kontoinformationen eines Benutzers und authentifiziert Benutzer für eine Domain.
Dieser Blog befasst sich mit dem Ansatz, den Angreifer verwenden, nachdem sie auf einem Domänencontroller Fuß gefasst haben, um eine Umgebung zu entdecken und zu verstehen, bevor sie sich seitwärts bewegen. Viele der Techniken leben quasi „von der Umgebung“ eines Endpunkts oder Servers, um schließlich zu Domänencontrollern zu gelangen und einen Angriff zu starten. In unserem nächsten Beitrag werden wir einige Möglichkeiten untersuchen, wie sich Angreifer seitwärts bewegen, und schließlich werden wir uns mit Gegenmaßnahmen befassen, um dies zu verhindern seitliche Bewegung.
Angreifer finden einen Weg hinein.
Sobald sie eingedrungen sind, müssen sie sich seitlich bewegen, oft um den Domänencontroller zu erreichen, um einen Angriff zu orchestrieren. Sobald ein Angreifer Zugriff darauf hat, ist er quasi ein IT-Administrator. Es könnte also nicht einfacher sein, „vom Land zu leben“. Lassen Sie uns einen Angriff unter der Annahme eines Verstoßes untersuchen, dass ein Angreifer irgendwann einen Weg hinein findet.
Schauen wir uns zunächst die Domänencontroller an. Sie wissen das wahrscheinlich schon, aber ein Microsoft-Domänencontroller-Server, Active Directory, ist für die Authentifizierung des Zugriffs (Überprüfung der Benutzeranmeldung) auf eine Windows-Domäne und die zugehörigen Netzwerkressourcen verantwortlich. Es enthält ein Verzeichnis mit Benutzern, Gruppen und Computern und ist eine Sammlung von Netzwerkdiensten wie Dateifreigaben, Netzwerkfreigaben und Druckern. Ein Server, der mit den Active Directory-Domänendienste-Rollen ausgestattet ist, wird zu einem Domänencontroller. Er ist außerdem mit einem DNS-Server zur Verwaltung der Namensauflösung und anderer interner Netzwerkdienste ausgestattet. Obwohl ein Domänencontroller und ein Active Directory-Server stark von der Benutzeroberfläche gesteuert werden, sind sie sehr komplex, insbesondere in einem typischen Unternehmensnetzwerk, in dem wahrscheinlich mehrere aus Gründen der Replikation und Fehlertoleranz vorhanden sind.
Aufgrund der stark miteinander verflochtenen Rollen in einer Windows-Domäne hostet der Domänencontroller viele verschiedene Dienste, abhängig von der Anzahl der Rollen, für die er bereitgestellt wurde. Rollen wie DNS für die interne Namensauflösung, Kerberos-Ticketing für die Authentifizierung, Server Message Block, Zertifikatsdienste und vieles mehr. Das erweitert die Angriffsfläche und in der Tat gibt es viele Angriffe gegen Komponenten wie:
- Verwendung von Single Sign-On-Anmeldeinformationen
- Kerberos-Ticketing,
- Dienstprinzipalnamen (SPN),
- Gruppenrichtlinienobjekte (GPO),
- Active Directory-Vertrauensstellungen und -Delegierung
- RPC und SMB.
Die meisten dieser Angriffe werden durch Netzwerkdurchquerung erheblich erleichtert. Alle diese Dienste sind mit zugehörigen Ports und Protokollen ausgestattet.
Die folgende Tabelle zeigt die Ports und Protokolle, die wahrscheinlich von einem typischen Domänencontroller verwendet werden und die geöffnet bleiben müssen. Dies entspricht einer ausgedehnten Angriffsfläche, die sich böswillige Akteure zunutze machen können. Die Herausforderung besteht darin, dass Active Directory nicht mehr richtig funktioniert, wenn wir beschließen, Ports zu schließen, um die Angriffsflächen zu reduzieren.
Pfad zum Domänencontroller
Die hier getroffene Prämisse steht im Einklang mit der Philosophie, dass ein Bedrohungsakteur möglicherweise bereits unbefugten Zugriff auf Ihre Systeme oder Ihr Netzwerk hat, wenn auch möglicherweise mit untergeordneten Rechten. Dies könnte beispielsweise die Kompromittierung eines Benutzerkontos sein Phishing das wiederum kann zu Business Email Compromise (BEC) führen. Dies bedeutet auch, dass der Bedrohungsakteur höchstwahrscheinlich versucht, sich seinen Weg zu einem Konto mit höheren Rechten und anschließend zu einem Kronjuwel wie dem Domänencontroller zu bahnen.
Schauen wir uns einen hypothetischen Angriffsablauf an, der diesem Muster folgt:
Der erste Angriff beinhaltet eine Phishing-E-Mail an einen Mitarbeiter. Dieser Phishing-Angriff enthält einen Link zu einem gefälschten Office 365 OneDrive-Login, auf das der Mitarbeiter hereinfällt. In Verbindung mit der Ausführung von Javascript und in einigen Fällen einer Sicherheitslücke führt ein solcher Link automatisch eine reine Speicher-Malware aus, die Windows Powershell nutzt. Dies führt dann zu einer C&C-Hintertür (Reverse Shell Command and Control), die vom Windows-Laptop des gefährdeten Benutzers zurück zum Angreifer führt. Dies ist der Ausgangspunkt für die 'dieses Artikelsvon einem Verstoß ausgehen'Prämisse.
Bis zu diesem Zeitpunkt wird der Angriff größtenteils automatisiert sein, sodass der Angreifer wahrscheinlich eine C&C-Benachrichtigung über eine neue Shell und damit einen neuen kompromittierten Computer erhält. Außerdem werden sie die vollständigen Details des kompromittierten Systems wie Benutzerkonten, Rechte und Zugriff auf Netzwerkressourcen größtenteils vergessen. Das ist der Ort, an dem das ATT&CK Entdeckungsphase ist wichtig für einen Angreifer.
ATT&CK: Entdeckung
Was ist das Erste, was Sie tun müssen, um von einem einzelnen System, sei es ein Mitarbeiterendpunkt oder eine Arbeitslast, zu einem Domänencontroller zu wechseln?
Wie ATT&CK in der Discovery-Phase sagen würde, „versuchen Sie, die Umgebung herauszufinden“.
Gegner verstehen zunächst, wer der Benutzer des Systems ist, welche Prozesse ausgeführt werden, welche Dateien, Verzeichnisse oder Gruppen angehören und welche Sitzungsinformationen es gibt.
Tools wie NMAP für Port-Scanning sind eine Option, um sich einen Überblick darüber zu verschaffen, welche Dienste auf entfernten Computern lauschen, die sie ausnutzen können. Darüber hinaus kann Bloodhound verwendet werden, um die Active Directory-Umgebung abzubilden, um den schnellsten Weg zum Domänencontroller zu ermitteln.
Diese Tools wurden bei Angriffen eingesetzt, stellen jedoch eine inhärente Herausforderung dar. Sie ziehen als Tools von Drittanbietern, die Traffic generieren, zu viel Aufmerksamkeit auf sich. Sie sind gesprächig und etwas offen, was bedeutet, dass sie von Sicherheitssystemen erkannt werden könnten.
Für Angreifer ist es am besten, einfach „außerhalb des Landes zu leben“, wenn sie Zugriff auf einen mit einer Domäne verbundenen Endpunkt oder Workload haben. Auf diese Weise verwenden sie Tools, die für den Endpunkt systemeigen sind und keinen Lärm im Netzwerk erzeugen.
Angreifer können mit grundlegenden CLI-Befehlen beginnen, mit denen viele von uns vertraut sind, um auf einfache und diskrete Weise zu verstehen, wo sie sich befinden und was sie als Nächstes tun können.
Auf einem in eine Domäne eingebundenen Client-Computer werden Befehle wie Whoami wird ermöglichen Entdeckung des Systembesitzers oder Benutzers, und zeigen eine Ausgabe, die der unten gezeigten ähnelt.
Auf diese Weise kann der Angreifer ein Kontoprofil des kompromittierten Systems erstellen, um zu sehen, worauf dieses Konto Zugriff hat. Ein kurzer Blick auf die Active Directory-Gruppen, zu denen der Computer gehört, lässt den Angreifer erkennen, dass der Benutzer beispielsweise dem Finanzteam angehört. Sie wissen, dass sie wahrscheinlich Zugriff auf Finanzdateishares haben werden, um sie auszunutzen, oder sie entscheiden sich möglicherweise dafür, Dateien auf dem Computer sofort zu untersuchen, wenn es um Finanzdaten geht.
Der Bedrohungsakteur kann auch einen einfachen, aber effektiven Befehl wie Netzbenutzer und zugehörige Switches verwenden, um den Namen des Domänencontrollers zu ermitteln, mit dem sein kompromittierter Computer verbunden ist, sowie die Liste der Benutzerkonten, die auf dem Domänencontroller vorhanden sind.
Von hier aus gibt es eine Reihe wichtiger Details, die ihnen den Weg zum Domänencontroller erleichtern können.
Andere einfache Befehle, mit denen viele vertraut sind, sind ipconfig /all und netstat -r um den Angreifer auf das Standard-Gateway und die Netzwerk-, Subnetz-, DNS- und DHCP-Informationen auszurichten. Anhand der Routing-Tabelle können sie auch sehen, was erreichbar ist. Dies gibt dem Angreifer genügend Informationen, um eine grundlegende Karte der Verbindungen auf Netzwerkebene zu erstellen. Sie können entziffern, ob sich ihr kompromittierter Computer im selben Subnetz wie der Domänencontroller oder der DNS-Server befindet. Aus diesem Grund ist es unerlässlich, eine Mikrosegmentierungsansatz für die die Sicherheit abhängig von der Arbeitslast anstatt netzwerkabhängig, selbst in einer flachen Netzwerkarchitektur. Sicherheit, die wie ein Domänencontroller der Arbeitslast folgt, unabhängig von Subnetz oder Standort.
Sie sind möglicherweise auch in der Lage, zusätzliche Subnetze und Routen sowie die entsprechenden Gateways zu entziffern und diese Routing-Informationen mit Reverse-DNS-Details, z. B. Netzwerkfreigabe-Servernamen, zu bestätigen.
Die meisten Organisationen verwenden Netzwerkfreigaben für Mitarbeiter innerhalb desselben Teams, um Informationen auszutauschen und manchmal zu archivieren. Bedrohungsakteure können die Details der Windows-Netzwerkfreigabe über integrierte Dienstprogramme wie Nettonutzung um Dateiserver oder sogar Domänencontroller zu finden. Sie können diese Informationen auch zusammen mit allen kompromittierten oder eskalierten Konten verwenden, um auf versteckte Windows-Netzwerkfreigaben zuzugreifen wie ADMIN$ oder C$. Diese können verwendet werden, um die Verbreitung von Malware auf andere Computer über das lokale SMB-Netzwerk oder über eine gültige Fernzugriffs-VPN-Verbindung, die mit einem SMB-Netzwerk verbunden ist, zu erleichtern.
Mit diesen Informationen können wir nun unten sehen, auf welche Shares und Server wir in Windows Zugriff haben. Sobald der Angreifer ein bisschen mehr Informationen über das kompromittierte System unter seiner Kontrolle hat, kann er den nächsten Aktionsplan formulieren.
In diesem Beispiel ist der Benutzer ein lokaler Administrator für seinen Laptop, er hat einen VPN-Adapter in seiner Liste der NICs und eine entsprechende VPN-Anwendung, hat aber keinen Domänenadministratorzugriff. Da ein Hauptziel darin besteht, Zugriff auf den Domänencontroller zu erhalten, stehen dem Angreifer einige Optionen zur Verfügung, z. B. der Versuch, Zugriffsrechte zu erweitern, die dann für laterale Bewegungen genutzt werden können. Wenn auf dem System keine anderen Konten vorhanden sind, für die Rechte eskaliert werden können, muss der Angreifer höchstwahrscheinlich versuchen, sich ein solches Konto zu sichern. Sie könnten die Authentizität des kompromittierten Kontos und Computers nutzen, um noch gezieltere Phishing-Angriffe innerhalb der E-Mail-Domain des Unternehmens zu versenden. Sie könnten auch eine künstliche Störung auf ihrem Zielsystem verursachen, um einen IT-Supportfall zu erzwingen, was höchstwahrscheinlich eine Fernhilfesitzung mit einem IT-Administrator bedeuten wird, der höchstwahrscheinlich auf dem infizierten Computer „Als Administrator ausführen“ wird. Bedrohungsakteure sind in der Regel entschlossen und geduldig und tun in der Regel alles, was nötig ist, um das zu bekommen, wonach sie suchen.
Es ist wichtig zu beachten, dass wir bis zu diesem Zeitpunkt noch nicht einmal leistungsstärkere native Funktionen wie PowerShell oder WMI verwendet haben. Dies dient dazu, bewusst auf die Menge an Informationen hinzuweisen, die auf älteren Betriebssystemen wie auf modernen Betriebssystemen immer noch abgerufen werden können. So kann der Angreifer beispielsweise immer noch die Möglichkeit eines systemeigenen Fernzugriffs mithilfe eines Systemtools wie PowerShell testen, um zu sehen, auf welche Maschinen er aus der Ferne zugreift, um das seitliche Verschieben und Schwenken zu unterstützen.
Die Powershell-Remoting-Funktionen bieten eine weitere Möglichkeit der Erkennung und der lateralen Bewegung mit Befehlen wie P-Session eingeben und verschiedene andere Cmdlets, die das ausführen können Computername Parameter. Ersteres nutzt WinRM (HTTP 5985 und HTTPS 5986) und letzteres das allgegenwärtigere RPC.
Wir wissen, wie wichtig Domänencontroller sind, wir wissen, dass es zu einem Angriff gekommen ist, und jetzt haben wir ein besseres Verständnis dafür, wie Angreifer einfache CLI-Befehle und die wichtigen Techniken des Lebens von der Landfläche verwenden können (die keinen Lärm erzeugen, Ihren Endpunkt oder Tools zur Netzwerksicherheit werde sehen), um sich einen Überblick über das Land zu verschaffen und herauszufinden, wo sie sich in einer Umgebung befinden.
Unser nächster Beitrag wird das untersuchen seitliche Bewegung die Angreifer nach der Entdeckung ausstellen, um an den Domänencontroller zu gelangen.
