Skip to main content

Wie funktioniert Active Directory Deception?

By 10.02.2021August 30th, 2021Blog
Active Directory Deception

Active Directory (AD) ist der Haupt-Verzeichnisdienst, der den Zugriff auf das Unternehmensnetzwerk steuert, und mehr als 90 % der Unternehmen nutzen ihn. Das macht es zu einem offensichtlichen Ziel für Angreifer, die zusätzliche Privilegien erlangen und ihre Angriffe eskalieren wollen.

Leider ist AD ein kompliziertes System, und es ist von Natur aus nicht leicht zu sperren. Schließlich besteht der Zweck von AD darin, autorisierten Benutzern den Zugang zu den von ihnen benötigten Diensten zu erleichtern. Die Einschränkung dieses Zugangs kann zu Ineffizienz führen und den Geschäftsbetrieb stören, was ein Kopfzerbrechen anderer Art ist.

Active Directory (AD) genießt den Ruf, der „ goldene Schlüssel “ zu sein, weil es – nach dem MITRE ATT&CK-Framework – für 10 der 12 Schritte, die Bedrohungsakteure üblicherweise unternehmen, von entscheidender Bedeutung ist. Zu diesen Schritten gehören Privilegieneskalation, laterale Bewegung und Datenexfiltration.

Angriffe auf Active Directory

Bedrohungsakteure setzen Phishing, Man-in-the-Middle und andere Techniken ein, um sich die Berechtigungen zu verschaffen, die sie benötigen, um in ein Netzwerk einzubrechen. Sobald sie einmal im System sind, setzen sie oft Angriffswerkzeuge wie Bloodhound Scans ein, um die gesamte AD-Umgebung abzubilden.

Das Bloodhound-Tool zeigt Angreifern zum Beispiel die kürzesten seitlichen Angriffspfade durch diese AD-Objekte, die ihnen Domänenadministrator-Privilegien im Netzwerk verschaffen. Dieses Tool verwendet normale Befehle und Aktivitäten, welche z.B. durch ein SIEM System nicht als gefährlich erkannt werden.

„Der Angreifer hat den Vorteil gegenüber den Verteidigern. Jahrzehntelang haben Geld, Patente und Anstrengungen nichts daran geändert. Die oberste Priorität muss sein, dies umzukehren, damit die Verteidiger es leichter haben.“

Mit Deception-Technologie kann man den Spieß umdrehen

Active Directory Deception schützt AD besser denn je, indem sie falsche Informationen als Antwort auf AD Scans von Angreifern zurückgibt. Wenn die Angreifer die gefälschten Daten verwenden, isoliert die Lösung sie in einer sicheren Umgebung, in der man wertvolle Informationen wie TTPs und IOCs sammeln kann. Woher kam der Angreifer? Was sucht er? Welchen Weg haben sie genommen? Diese Art von Informationen kann den Security Analysten helfen, sich besser auf die Zukunft vorzubereiten.

Active Directory Deception wird aktiv, sobald ein Angreifer über einen kompromittierten Endpunkt eine unrechtmäßige Abfrage im AD (z.B. Bloodhound Scan) startet. Die Anfrage wurde zunächst regulär an den AD-Server geleitet und dort ordnungsgemäß verarbeitet. Die Antwort, die vom AD-Server an den Endpunkt zurückkommt, wird jedoch mit einem Köder versehen und sobald dieser vom Angreifer benutzt, wird er in eine sichere Umgebung mit echten Systemen umgeleitet. Paralell dazu geht mit absetzten der unrechtmäßigen Abfrage auch schon ein Alarm los, der den Security Analysten sofort informiert über diese Aktivität.

Dort angelangt erhält der Angreifer, der nach Informationen über privilegierte Domänenkonten, Systeme und andere hochwertige Objekte sucht, gefälschte Active Directory-Ergebnisse, die die automatisierten Tools des Angreifers unwirksam machen. Jeder Versuch, diese Köderumgebung anzugreifen, lief in eine virtuelle Fallenumgebung.

Indem Angreifer in die Deception Umgebung gelenkt werden, kann man mittels der CYBERTRAP Analyse Software den Angriff genau untersuchen, um Taktiken, Techniken und Verfahren zu bestimmen und unternehmensspezifische Bedrohungsinformationen für eine beschleunigte Reaktion zu sammeln. Diese Daten werden auf einem modernen Dashboard dem Security Analysten zur Verfügung gestellt.

 

Das könnte Sie auch interessieren: https://cybertrap.com/blog/was-ist-lateral-movement/

Über den Autor

Franz Weber Bio 01