Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Hacker Monitore Shutterstock 580615099 500

Zwei IT-Sicherheitsforscher haben während der Sicherheitskonferenz "BlueHat IL" eine neue Angriffstechnik gegen die Active Directory-Infrastruktur veröffentlicht, "DCShadow" genannt.

"DCShadow" ermöglicht einem Angreifer mit den entsprechenden Rechten, einen bösartigen Domänencontroller zu erstellen, der bösartige Objekte in eine laufende Active Directory-Infrastruktur replizieren kann

Gérard Bauer, Vice President EMEA beim IT-Sicherheitsexperten Vectra, erklärt dazu:

„DCShadow ist eine innovative Technik die einen schädlichen Active Directory (AD)-Controllers in ein bestehendes System einfügt, indem die Replikationsdienste der Active Directory manipuliert werden. Diese Aktion würde sich gut in den Lebenszyklus eines mehrstufigen, gezielten Angriffs einfügen, der bereits einen anfänglichen Grad an Persistenz erreicht, die AD-Infrastruktur erkannt und Administratorrechte auf Systemebene erhalten hat.

Die DCShadow-Funktionalität ist bereits in Angreifer-Toolkits wie Mimikatz verfügbar. Solche Tools werden häufig bei legitimen Red-Team-Penetrationstests und von böswilligen Angreifern gleichermaßen verwendet, da sie die Komplexität und Workload reduzieren, die zur Ausführung des Angriffs erforderlich sind. Es ist daher von einem verstärkten Einsatz dieser AD-Manipulationstechnik auszugehen.“

Warum sollten Hacker diese Art von Angriffen nutzen?

„Fortgeschrittene, zielgerichtete Angreifer werden versuchen, diese Technik zu nutzen, um Kontrolle über die AD-Infrastruktur zu erlangen. Sie könnten nicht nur neue Konten hinzufügen, sondern durch die Erstellung von Group Policy Object (GPO)-Tasks auch weitreichende Kontrolle und Einflussnahme auf viele entfernte Maschinen und Benutzer erreichen. Die Kontrolle über das AD ist somit ein entscheidender Wegbereiter für Angreifer, aber nicht das Endziel eines Angriffs“, so Gérard Bauer von Vectra.

Wie können sich Unternehmen gegen diesen Angriff verteidigen?

„Die Manipulation von AD-Controllern muss nur als Teil des Lebenszyklus einer Cyberattacke angesehen werden. Angreifer errichten einen Ausgangspunkt, führen Erkundungen durch, bewegen sich seitlich und eignen sich Rechte an, bevor sie ihre schädlichen Aktivitäten fortsetzen in Richtung Datenmanipulation, Datendiebstahl oder Serviceblockierung. Dies bedeutet aber auch, dass es viele Möglichkeiten gibt, aktive Angreifer zu erkennen und darauf zu reagieren“, erklärt Bauer.

„Viele Unternehmen lassen ihre AD-Infrastruktur Syslog-Events an eine SIEM-Plattform senden. Die Protokolle sind jedoch unvariabel, weisen Hintergrundrauschen auf, sind von begrenztem Umfang und die Suche nach Angreifern ist zeitaufwändig. Mit der DCShadow-Technik würde der vom Angreifer eingerichtete falsche AD-Controller keine Logs an das SIEM senden und würde daher nicht erfasst werden. Szenarien wie diese zeigen die Grenzen und Leistungseinschränkungen von Datenquellen und manueller Analyse auf, wenn Bedrohungen auf diese Weise gesucht werden.“

Wie kann ein möglicher Angriff abgeschwächt werden?

„Cybersicherheit ist ein Wettrüsten. Angriffstechniken entwickeln sich ständig weiter und werden anspruchsvoller. Unternehmen müssen die neuesten Technologien wie KI und hoch entwickelte Verhaltensanalyse einsetzen, um sich gegen diese ebenso fortschrittlichen Angriffe zu schützen und mögliche Konsequenzen zu mindern. Mit KI können Unternehmen die Aktivitäten eines Angreifers in einem Netzwerk auf automatisierte Weise identifizieren, bevor der Angreifer die Möglichkeit hat, bösartige Domain-Controller zu registrieren und Chaos anzurichten“, so Bauer. „Eine stärkere Automatisierung der Sicherheit ermöglicht die Erkennung und Reaktion in einer Geschwindigkeit und Größenordnung, wie es Menschen allein nicht leisten können. Dadurch verbessern sich die Chancen beim Schutz von AD-Infrastrukturen, wertvollen digitalen Vermögenswerten und letztendlich der Reputation des Unternehmens deutlich. Die Leistungsfähigkeit von KI und der automatisierten Erkennung von Bedrohungen muss genutzt werden, wenn Unternehmen gegen diese neuen, sich weiterentwickelnden Angriffstechniken eine Chance haben wollen.“

Was Unternehmen zusätzlich wissen müssen

DCShadow ist kein Bug oder eine Schwachstelle, da das AD so funktioniert, wie es Microsoft beabsichtigt hat. Der Einsatz von DCShadow sollte jedoch eine Überprüfung von AD-Konfigurationen und der Authentifizierungskontrolle veranlassen. Protokolldateien und SIEMs helfen aber nicht dabei, einen schädlichen DCShadow AD Controller zu finden. Anstatt sich kurzsichtig auf eine bestimmte Angriffstechnik zu konzentrieren, sollten Unternehmen sicherstellen, dass sie in der Lage sind, das Verhalten mehrerer Angreifer zu erkennen, zu verstehen und darauf zu reagieren. Diese verschiedenen Verhaltensweisen, die aufschlussreich sind, treten bei einem fortschrittlichen, gezielten Angriff auf. Unternehmen sollten nicht auf die Signale der Endphase des Angriffs warten, sondern möglichst früh aktiv werden, um erste Angriffsschritte abzufangen und zu neutralisieren.

 Weitere Informationen stehen hier.

vectra.ai/dach

 

GRID LIST
Hacker Zug

Visual und Audible Hacking im Zug – eine unterschätzte Gefahr

Was nützt die beste Firewall oder die ausgefeilteste IT-Sicherheitsschulung, wenn…
Tb W190 H80 Crop Int 0f5cc7f2c0b98f58e1eb57da645ab116

Facebook greift Banken mit digitaler Weltwährung an

Ihrer Zeit voraus zu sein und auf der grünen Wiese radikal neue Geschäftsmodelle zu…
Bluekeep

Wird Bluekeep zu WannaCry 2.0?

Vor etwas mehr als einem Monat entdeckte Microsoft die Sicherheitslücke Bluekeep, die die…
Tb W190 H80 Crop Int 73b50202d2bf2dd564a0e650dc77f891

Ethical Hackers - Wenn Cyberkriminelle die Seiten wechseln

Unternehmen stehen ständig vor der Herausforderung, mit der wachsenden…
Tb W190 H80 Crop Int Fa64704bbd86b88fc4d177ea01590e6c

Erste Bilanz zu den Trends und Entwicklungen 2019

Cyberkriminalität beschäftigt Unternehmen branchenübergreifend mehr denn je. Ende letzten…
Social Engineering Marionetten

Sicherheitslücke Mensch: Social Engineering nimmt weiter zu

Cyberkriminalität ist eines der größten Probleme in der vernetzten Welt – auch weil viele…