Active Directory Deception

Wertvolle Bedrohungsdaten (Threat Intelligence) für Ihr AD

Warum ist mein AD gefährdet?

Der effizienteste Weg für einen Hacker, Zugang zu einem Firmennetzwerk zu erlangen, besteht darin, ein Administratorkonto zu hacken. Wo? In einem Active Directory. Um diese Konten zu finden, nutzen Angreifer ausgeklügelte Werkzeuge.

Wie kann ich mein Active Directory schützen?

Wenn CYBERTRAP Active Directory Deception aktiv ist, erkennt es jeden Scan nach privilegierten Benutzerkonten und nutzt diese Gelegenheit, um dem Hacker falsche Anmeldedaten zu senden. Sobald der Angreifer diese verwendet, um sich weiter im Netzwerk zu bewegen, tappt er in die Falle.

Der Eindringling wird unbemerkt zu einem täuschend echten Abbild des Active Directory, der Deception-Umgebung, umgeleitet. Dort kann er sich "austoben", ohne Schaden anzurichten oder echte Firmendaten zu finden. Gleichzeitig wird der Angriff präzise überwacht und die Angriffstaktiken analysiert, wodurch das eigene Active Directory gegen zukünftige Angriffe gestärkt wird.

cybertrap-active-directory-deception

Deshalb sollten Sie CyberTrap wählen

NICHT-INVASIV

CyberTrap hat keinen Einfluss auf Ihren Betrieb oder das Live-System

EFFIZIENT

CyberTrap istinnerhalb eines Tages einsatzbereit

UNSICHTBAR

CyberTrap ist für Angreifer und Mitarbeiter unsichtbar

WIE EINE ALARMANLAGE

Profitieren Sie vonAngriffsinformationen in Echtzeit

Für wen ist Active Directory Deception geeignet?

Sie können auf viele Arten in den Schutz der Vermögenswerte Ihres Unternehmens investieren. Leider gibt es für lebende Systeme wie die IT-Infrastruktur keine garantierte lebenslange Sicherheit. Ein Sicherheitsverstoß (möglicherweise noch unentdeckt) wird immer gefunden, oder es entstehen neue Schwachstellen, zum Beispiel durch Updates. Ein weiterer Faktor ist das Fehlen eines Patch-Managements oder sogenannte Phishing-Angriffe, bei denen Angreifer gefälschte E-Mails oder Telefonanrufe verwenden, um direkt an die Zugangsdaten eines Mitarbeiters zu gelangen.

Es ist weniger eine Frage der Unternehmensgröße als vielmehr der Bereitschaft oder Notwendigkeit, die neueste Technologie zu nutzen. Selbst große IT-Systemunternehmen können von der zusätzlichen Glaubwürdigkeit profitieren, die eine Partnerschaft mit CyberTrap mit sich bringt, und sich so einen Vorteil auf dem Markt verschaffen.

ECSO_Label_eurobits_pfade_eV-1
FAQs

Besteht Klärungsbedarf?

Warum sind aktive Verzeichnisse besonders anfällig?

Für Angreifer ist Active Directory ein ideales Versteck vor Sicherheitsteams und deren Standardtools. Sobald sie in das System eingedrungen sind, nutzen Hacker spezielle Tools, um die gesamte Active Directory-Umgebung zu erfassen. So können sie wertvolle Ressourcen, kritische Systeme und privilegierte Benutzerkonten ausfindig machen, die sie zu ihrem Vorteil ausnutzen können.

Warum sind aktive Verzeichnisse beliebte Angriffspunkte?

Aktive Verzeichnisse sind beliebte Angriffspunkte, da sie von Unternehmen häufig verwendet werden, um den Zugriff von Benutzern und Computern auf Unternehmensressourcen zu verwalten. Jeder Computer im Unternehmensnetzwerk muss Zugang zu Active Directory haben, damit die Netzwerkumgebung ordnungsgemäß funktioniert, was es zu einem zentralen Kontrollpunkt macht. Diese weit verbreitete Abhängigkeit vereinfacht die Arbeit eines Hackers, da der Zugriff auf Active Directory eine weitreichende Kontrolle über das gesamte Netzwerk und seine Ressourcen ermöglichen kann.

Warum finden Hacker Active Directory-Administratorkonten so interessant?

Für Hacker sind Active Directory-Administratorkonten besonders interessant, da Administratoren in der Regel über erweiterte Berechtigungen verfügen, die es ihnen ermöglichen, Domänen zu erstellen und zu konfigurieren, Daten abzurufen und auf geschützte Bereiche zuzugreifen. Durch den Missbrauch vorhandener Anmeldeinformationen, wie z. B. eines Administratorkontos, können Hacker weitreichende Kontrolle über das Netzwerk erlangen und lange Zeit unentdeckt bleiben, wodurch es einfacher wird, das System auszunutzen und auf wertvolle Ressourcen zuzugreifen.

Welche Techniken und Tools verwenden Hacker, um nach Administratorkonten in einem Active Directory zu suchen?

Hacker verwenden eine Vielzahl von Techniken und Tools, um nach Administratorkonten in einem Active Directory zu suchen. Hier sind einige gängige Methoden:

Techniken

  1. Erkundung und Aufzählung
    • LDAP-Abfragen: Hacker verwenden LDAP-Abfragen (Lightweight Directory Access Protocol), um Informationen über die Verzeichnisstruktur, Benutzerkonten und Gruppenmitgliedschaften zu sammeln.
    • Netz-Befehle: Mit Befehlen wie net user und net group können Angreifer Benutzerkonten und deren Gruppenmitgliedschaften auflisten.
  2. Passwort-Spraying
    • Bei dieser Technik werden einige gängige Kennwörter an vielen Konten ausprobiert, um Kontosperrungen zu vermeiden und schwache Kennwörter zu erkennen.
  3. Credential Dumping
    • Mit Tools wie Mimikatz können Hacker Anmeldedaten aus dem Arbeitsspeicher oder dem lokalen Speicher auslesen, um gehashte oder Klartextpasswörter von Administratorkonten zu erhalten.
  4. Pass-the-Hash- und Pass-the-Ticket-Angriffe
    • Verwendung von gehashten Kennwörtern (NTLM-Hashes) oder Kerberos-Tickets, die von kompromittierten Konten erlangt wurden, um sich als Administratoren zu authentifizieren, ohne das eigentliche Kennwort zu kennen.
  5. Privilegieneskalation
    • Ausnutzung von Schwachstellen oder Fehlkonfigurationen, um die Berechtigungen von einem untergeordneten Konto auf ein Administratorkonto zu erweitern.

Werkzeuge

  1. Mimikatz
    • Ein leistungsstarkes Tool zum Extrahieren von Klartextpasswörtern, Hashes, PIN-Codes und Kerberos-Tickets aus dem Speicher.
  2. BloodHound
    • Ein Active Directory (AD) Aufzählungstool, das Beziehungen und Privilegien aufzeigt und Angreifern hilft, Wege zur Eskalation von Privilegien zu finden.
  3. PowerView
    • Ein PowerShell-Tool, das beim Sammeln von Informationen über die AD-Umgebung, einschließlich Benutzern, Gruppen und Berechtigungen, hilft.
  4. Responder
    • Ein Tool, mit dem Anmeldeinformationen erfasst werden, indem Systeme dazu gebracht werden, sich bei einem vom Angreifer kontrollierten Rogue-Server zu authentifizieren.
  5. Metasploit
    • Ein Penetrationstest-Framework, das verschiedene Module für Active Directory-Angriffe enthält, darunter Enumeration und Credential Dumping.
  6. Kerbrute
    • Ein Tool, das zum Brute-Forcing und zur Aufzählung gültiger Active Directory-Benutzerkonten durch Kerberos Pre-Authentication verwendet wird.
  7. SharpHound
    • Ein Datensammler, der von BloodHound verwendet wird, um Informationen über die Active Directory-Umgebung für die Analyse zu sammeln.
  8. CrackMapExec
    • Ein Post-Exploitation-Tool, das bei der Netzwerkerkundung und Ausnutzung von Active Directory-Umgebungen hilft.

Mithilfe dieser Techniken und Tools können Hacker effektiv nach Administratorkonten in einer Active Directory-Umgebung suchen und diese ausnutzen, wobei sie oft lange Zeit unentdeckt bleiben.

Wie wird ein Angreifer in die Deception-Umgebung umgeleitet?

Wenn CyberTrap Active Directory Deception aktiv ist, werden Angreifer durch die Verwendung von gefälschten Anmeldedaten geschickt in eine Täuschungsumgebung umgeleitet. Und so funktioniert es:

Wenn ein Hacker das Netzwerk nach Administratorkonten durchsucht, erhält er gefälschte Anmeldedaten, die so gestaltet sind, dass sie legitim erscheinen. Sobald der Angreifer diese gefälschten Anmeldeinformationen verwendet, wird er automatisch in eine sorgfältig erstellte Nachbildung des Unternehmensnetzwerks, die so genannte Täuschungsumgebung, umgeleitet. Diese Umgebung ahmt das echte Netzwerk nach und stellt sicher, dass der Angreifer den Wechsel nicht bemerkt.

In dieser Täuschungsumgebung kann der Angreifer mit vermeintlich echten Systemen und Daten interagieren und so seine Aktivitäten unbemerkt fortsetzen. In der Zwischenzeit wird der zuständige IT-Administrator sofort über den Angriff informiert. Auf diese Weise wird nicht nur der Angreifer isoliert und ein echter Schaden für das eigentliche Netzwerk verhindert, sondern auch das Verhalten des Angreifers überwacht und analysiert, was wertvolle Informationen über die Bedrohung liefert.

Warum merkt der Angreifer nicht, dass er falsche Anmeldedaten erhält?

Die Anmeldedaten, die der Angreifer erhält, sind für tatsächliche Systeme mit echten Betriebssystemen und Diensten bestimmt, die so genannten Fallen (Decoys). Diese Fallen sind so konzipiert, dass sie von legitimen Systemen innerhalb des Unternehmensnetzes nicht zu unterscheiden sind.

Folglich kann der Angreifer nicht feststellen, ob es sich um echte oder gefälschte Anmeldedaten handelt, da sie sich in keiner Weise von echten Anmeldedaten unterscheiden. Die Attrappen reagieren wie echte Systeme und bieten dem Angreifer eine nahtlose und überzeugende Erfahrung. Durch diese sorgfältige Nachbildung wird sichergestellt, dass der Angreifer die Täuschung nicht bemerkt und seine Aktivitäten so fortsetzen kann, als ob er mit echten Netzwerkressourcen interagieren würde.