Bringen Sie mich zu Ihrem Domänencontroller: Schutz und Gegenmaßnahmen mithilfe von Zero-Trust-Tools

In Teil 1 In dieser Blogserie haben wir uns angeschaut, wie Entdeckung Methoden können in einem ersten Kompromiss verwendet werden. Die zweiter zeigte ein Beispiel für Identitätsdiebstahl unter Verwendung von Pass-the-Hash-Techniken in Kombination mit Fernzugriffstools für seitliche Bewegung. In diesem letzten Teil schauen wir uns an, wie wir laterale Bewegungen abschwächen können. Wir haben bereits das praktische Beispiel der beiden sich ergänzenden Ansätze erörtert, die laterale Bewegungen ermöglichen: auf Anwendungsebene und auf Netzwerkebene.

Es sollte klar sein, dass wir mit Netzwerkebene eigentlich Host-zu-Host-Kommunikation über das Netzwerk meinen, nicht unbedingt Netzwerkgeräte wie Switches oder Router. Ein Host kann eine Arbeitslast wie ein Domänencontroller sein, wobei der Datenbankserver entweder physisch, virtuell oder sogar containerisiert ist. Die Anwendungsebene bezieht sich auch darauf, was im Host selbst passiert. Zum Beispiel Binärdateien auf der Festplatte, Prozesse im Speicher, Registrierungsaktionen usw.

Während der lateralen Bewegung, die im vorherigen Blog besprochen wurde, wurde die Mimikatz-fähige Pass-the-Hash-Technik innerhalb des Betriebssystems auf Anwendungsebene verwendet, indem Hash-Anmeldeinformationen aus dem Windows LSASS-Prozessspeicher abgerufen wurden.

Das aus diesem Angriff abgeleitete Zugriffstoken für erhöhte Zugriffsrechte wurde dann verwendet, um den Fernzugriff mithilfe des PAExec-Tools zu ermöglichen, das Windows SCM nutzt.

Bei der Analyse dieser spezifischen Angriffssequenz anhand der beiden oben beschriebenen Ebenen müsste die Anwendungsebene des Systems zunächst verhindern, dass Mimikatz verwendet wird oder dass PaExec fehlschlägt, basierend auf Default-Deny mit einem Zulassungsliste von Anwendungen. Alternativ müssten wir den Prozessstart im Speicher erkennen, indem wir beispielsweise geladene DLLs oder API-Aufrufe überwachen. Die Netzwerkebene müsste die Mikrosegmentierung auf Host-Ebene durchsetzen, um die Bewegung zwischen Systemen zu verhindern, selbst wenn sie sich im selben Subnetz oder VLAN befinden. Die Basisanalyse des Datenverkehrs wird es auch ermöglichen, Anomalien wie Datenexfiltration zu erkennen.

Das Bild unten zeigt die statische Analyse der Mimikatz- und PAExec-Binärdateien sowie einiger Systemabhängigkeiten wie importierte DLLs.

Der laufende Prozess im Speicher zeigt uns den Prozessbaum von cmd, der sowohl für die Mimikatz-Pass-the-Hash- als auch für die nachfolgende PAExec-Verbindung zum Domänencontroller verwendet wurde.

Die Forensik auf dem Zielsystem, in diesem Fall dem Domänencontroller, zeigt auch die auf dem Domänencontroller verwendete Binärdatei an, um die Fernverwaltung und in diesem Fall die seitliche Bewegung zu erleichtern.

Und das Bild unten zeigt auch den zugehörigen Dienst.

Standardmäßig verwendet es die Standardbenennungskonvention sowohl für die binären als auch für die resultierenden Prozessnamen. Dies kann natürlich durch einen Bedrohungsakteur geändert werden.

Daher ist es wichtig, dass Abwehransätze diese Angriffsebenen berücksichtigen — Schutzmaßnahmen, die sich mit den Bedrohungen auf Anwendungsebene befassen, und Schutzmaßnahmen, die sich mit der Sicherheit auf Netzwerkebene befassen, wobei der Schwerpunkt auf der Host-zu-Host-Kommunikation liegt. Das bedeutet dann, dass die Sicherheit erhalten bleibt und sich mit dem Host oder Workload bewegt, der geschützt wird (z. B. Domänencontroller Maschine als Arbeitslast und der Endpunkt (Maschinen, die auf den Domänencontroller zugreifen).

Wenn dieses zweistufige Konzept auf die Domäne und die zugehörigen Server und Clients angewendet wird, zeigt die folgende Infografik einige der wichtigen Sicherheitsaspekte zum Schutz vor Bedrohungen für die Domänencontroller und andere Domänensysteme, wie sie in dieser Blogserie erörtert wurden.

Ein guter Ausgangspunkt für Informationen ist Die Best Practices von Microsoft zur Sicherung von Active Directory, in dem vernünftige Ansätze detailliert beschrieben werden, z. B. keine Anmeldung an ungesicherten Computern mit privilegierten Konten oder das normale Surfen im Internet mit einem Konto mit hohen Rechten oder sogar direkt von Domänencontrollern aus. Eine effektive Rechteverwaltung und Listen mit Zulassungslisten für Anwendungen können auch die Beschränkung der Nutzung privilegierter Konten in der gesamten Domäne automatisieren und die Verwendung nicht genehmigter Anwendungen verhindern.

So kann beispielsweise auf Anwendungsebene des Systemschutzes Endpoint Detection and Response (EDR) in Kombination mit Identity & Privilege Management-Lösungen auf Zero-Trust-Basis mithilfe von Tools wie Mimikatz oder Rubeus dabei helfen, Bedrohungen auf Anwendungsebene auf dem Domänensystem wie Diebstahl von Anmeldeinformationen und LSASS-Speichermanipulation abzuwehren (auch wenn sie nur im Arbeitsspeicher ausgeführt werden und die Festplatte nicht berühren).

Das folgende Beispiel zeigt ein solches Beispiel aus einer EDR-Lösung, CrowdStrike Falcon, die eine Reihe von bösartigem Verhalten auf Anwendungs- und Systemebene erkennt.

Auf der Netzwerkebene des Systems, wie beim Domänencontroller und anderen Domänensystemen, bieten hostbasierte Mikrosegmentierungslösungen wie Illumio Core kann Zero-Trust-Sicherheit und Mikrosegmentierung bieten. Illumio Edge erweitert diesen Schutz auf die Endpunkte innerhalb und außerhalb der Domain. Dies gilt insbesondere für Fälle von Zero-Day-Sicherheitslücken und für Fälle, in denen Bedrohungen von der Endpunktsicherheit auf Anwendungs- und Systemebene übersehen werden.

Die meisten modernen Netzwerke sind heterogen, komplex und umfangreich, insbesondere in Zeiten der Telearbeit. Aus diesem Grund ist es nicht besonders einfach, die Sicherheit zu gewährleisten, ohne vorher eine gezielte Strategie zu haben. Insbesondere bei großen Netzwerken scheint es aufgrund der Vielzahl unterschiedlicher, komplexer Systeme mit unterschiedlichen Sicherheitsrichtlinien fast unmöglich, eine effektive Sicherheit zu erreichen. Daher ist es wichtig, zu den Grundlagen zurückzukehren und Folgendes zu tun:

1. Wissen Sie, was Sie haben
2. Wisse, was sie tun
3. Sichere sie

Dies gilt insbesondere dann, wenn Workloads im Rechenzentrum oder in der Cloud gespeichert werden. Der einfachste und effektivste Weg, um herauszufinden, was Sie haben, besteht darin, die Systeme zunächst nach bestimmten Attributen wie Standort, Umgebung und Anwendung zu gruppieren. Auf diese Weise lassen sich kritische Systeme und Anwendungsgruppen, gruppenübergreifend genutzte Kerndienste und andere weniger wichtige Systeme und Anwendungen leicht identifizieren. Natürlich wird das Hauptaugenmerk dann auf den wichtigsten Ressourcen, den Kronjuwelenanwendungen und den Kerndiensten liegen.

Effektive Sicherheit gibt es nicht isoliert, daher muss jeder Ansatz die folgenden wichtigen Überlegungen berücksichtigen:

• Sichtbarkeit
• Integration
• Leistung im großen Maßstab
• Effektivität

Der erste wichtige Punkt ist die Sichtbarkeit. Wie das folgende Beispiel aus der Kernlösung von Illumio für den Zero-Trust-Workload-Schutz zeigt, ebnet die Zuordnung von Anwendungsabhängigkeiten und die Anzeige verschiedener Anwendungsgruppen und ihrer Verbindungen den Weg für die fundierte Definition und Bereitstellung von Richtlinien direkt auf Hostsystemen wie Domänencontrollern, Datenbankservern und anderen kritischen Workload-Systemen in der Domäne — physisch, virtuell, in Containern oder in der Cloud. Dies bedeutet, dass die Mikrosegmentierung auch in einer flachen Brownfield-Umgebung mit Systemen angewendet werden kann, die sich über verschiedene geografische Standorte erstrecken und auf verschiedenen Plattformen existieren. Dies hilft Ihnen zu wissen, was Ihre Systeme im Netzwerk tun. Das folgende Beispiel zeigt die Anwendungsgruppen und ihre Verkehrsbeziehungen in einer Abbildung der Anwendungsabhängigkeiten.

Solche nützlichen Informationen auf Systemebene können auch in bestehende Sicherheitsinvestitionen wie SIEMs, Schwachstellenscanner oder CMDBs integriert werden. Im folgenden Beispiel werden Informationen aus der hostbasierten Mikrosegmentierungslösung in eine SIEM- oder Sicherheitsanalyselösung eingespeist. Dieses Beispiel zeigt die Integration mit Splunk SIEM:

Und in diesem zweiten Beispiel mit QRadar:

Das bedeutet, dass neue Lösungen mit bestehenden Sicherheitsinvestitionen kombiniert werden können, um die gesamten Domänensysteme zu schützen. Leistung und Effektivität skalierbarer Sicherheitslösungen sollten ebenfalls ein wichtiger Aspekt sein, damit die Sicherheit sowohl in festen als auch in agilen Umgebungen wie Containern oder Cloud-Migrationen erhöht oder verringert werden kann.

Sobald diese alle eingerichtet sind, ist es einfach, konsistente Sicherheitsrichtlinien für alle Systeme zu definieren, um anomales Verhalten zu überwachen, zu erkennen und zu verhindern. Die Abbildung unten zeigt die verschiedenen Arten von Mikrosegmentierungsrichtlinien, die auf der Grundlage von Echtzeit-Verkehrsmustern von Host zu Host, also auf Netzwerkebene, angewendet werden können.

In neueren Versionen von Windows, wie Windows 10 und Server 2016, wurde das Ereignis 4768 — ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert — und das Ereignis 4769 — Kerberos-Serviceticket wurde angefordert. Eine nachfolgende Korrelation kann auf den Beginn von Golden- oder Silver-Ticket-Angriffen hinweisen. Microsoft hat auch neue Schutzmaßnahmen wie Credential Guard eingeführt, das vor dem Dumping von Anmeldeinformationen schützen soll. Für den Fall, dass ein Cybervorfall auftritt, ist es wichtig, dass ein Strategie zur Reaktion auf Cybervorfälle ist bereits an Ort und Stelle.

Sowohl der Schutz auf Anwendungs- als auch auf Netzwerkebene sollte durch ein 'von einem Verstoß ausgehen„Strategie, sodass insgesamt eine aktive Bedrohungssuche, unterstützt durch Analysen, kontinuierliche Überwachung und Erkennung, immer automatisiert und strukturiert in Kraft ist.