Fallstudie: Wie Defenders Predictive Shielding GPO-basierten Ransomware vor der Ausführung blockierte

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

Fallstudie: Wie Defenders Predictive Shielding GPO-basierten Ransomware vor der Ausführung blockierte

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Microsoft Defender unterbrach einen ransomwarebasierten Angriff eines menschlichen Operators, der auf eine große Bildungseinrichtung abzielte, indem der Missbrauch von Gruppenrichtlinienobjekten (GPOs) erkannt wurde. Diese wurden verwendet, um Sicherheitseinstellungen zu schwächen und Ransomware durch geplante Aufgaben zu verbreiten.

Untersuchung

Die Angreifer kompromittierten ein Domänen-Admin-Konto, führten eine Active Directory-Aufzählung durch, erzwangen Anmeldeinformationen durch Brute-Force, sammelten Kerberos-Tickets und NTDS-Daten, erstellten gefälschte lokale Konten und setzten bösartige GPOs ein, um eine Manipulationsrichtlinie durchzusetzen und die Lieferung von Ransomware durch geplante Aufgaben auszulösen.

Minderung

Defenders prädiktive Abschirmung identifizierte die bösartige GPO-Aktivität, erzwang eine temporäre GPO-Härtung, blockierte die geplante Ransomware-Ausführung und verhinderte die Verschlüsselung auf 97% der Geräte.

Reaktion

Sobald entdeckt, sollten Verteidiger sofort eine GPO-Härtung aktivieren, kompromittierte Konten eindämmen, verdächtigen SMB-Verkehr blockieren und nach zusätzlichen Persistenzmethoden suchen, einschließlich der unbefugten Erstellung lokaler Konten.

"graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef builtin fill:#cccccc %% Reconnaissance Nodes recon_action["Aktion – Aufklärung Verwendete AD Explorer, um Active Directory aufzulisten, und führte Passwort-Raten durch."] class recon_action action recon_brute["Technik – T1110 Brute Force: Passwort-Raten Beschreibung Versucht, Passwörter durch Versuch und Irrtum zu erraten."] class recon_brute technique recon_account["Technik – T1087.002 Kontoentdeckung: Domänenkonto Beschreibung Zeigt Domänenbenutzerkonten auf."] class recon_account technique recon_gpo["Technik – T1615 Gruppenrichtlinienentdeckung Beschreibung Ruft Gruppenrichtlinieneinstellungen von Domänencontrollern ab."] class recon_gpo technique %% Reconnaissance Connections recon_action –>|nutzt| recon_brute recon_action –>|entdeckt| recon_account recon_action –>|entdeckt| recon_gpo %% Credential Access Nodes action_cred["Aktion – Anmeldeinformationszugriff Führte Kerberoasting durch und warf NTDS.dit ab."] class action_cred action tech_kerb["Technik – T1558.003 Kerberoasting Beschreibung Fordert Diensttickets an und entschlüsselt sie offline."] class tech_kerb technique tech_ntds["Technik – T1003.003 OS-Anmeldeinformations-Dumping: NTDS Beschreibung Extrahiert Passwort-Hashes aus der Active Directory-Datenbank."] class tech_ntds technique %% Credential Access Connections action_cred –>|nutzt| tech_kerb action_cred –>|nutzt| tech_ntds %% Persistence Nodes action_persist["Aktion – Persistenz Erstellte neue lokale Konten auf kompromittierten Hosts."] class action_persist action tech_create_local["Technik – T1136.001 Kontoerstellung: Lokales Konto Beschreibung Fügt lokale Benutzerkonten für fortlaufenden Zugriff hinzu."] class tech_create_local technique %% Persistence Connections action_persist –>|nutzt| tech_create_local %% Lateral Movement Nodes action_lateral["Aktion – Seitliche Bewegung Verwendete gestohlene Domänenanmeldeinformationen, um über SMB auf Remote-Administratorfreigaben zuzugreifen."] class action_lateral action tech_smb["Technik – T1021.002 Remote-Dienste SMB/Windows-Admin-Freigaben Beschreibung Nutzt SMB-Freigaben für Seitwärtsbewegung."] class tech_smb technique %% Lateral Movement Connections action_lateral –>|nutzt| tech_smb %% Defense Evasion Nodes action_evasion["Aktion – Verteidigungsumgehung Setzte bösartige GPO ein, um Microsoft Defender zu deaktivieren."] class action_evasion action tech_gpo_mod["Technik – T1484 Domänen- oder Mandantenrichtlinienänderung Beschreibung Ändert Gruppenrichtlinienobjekte, um Sicherheitseinstellungen zu ändern."] class tech_gpo_mod technique tech_impair["Technik – T1562.001 Verteidigungen beeinträchtigen: Deaktivieren oder Ändern von Werkzeugen Beschreibung Schaltet Sicherheitswerkzeuge ab oder ändert sie."] class tech_impair technique %% Defense Evasion Connections action_evasion –>|modifiziert| tech_gpo_mod action_evasion –>|deaktiviert| tech_impair %% Impact Preparation Nodes action_impact["Aktion – Vorbereitung des Einflusses Erstellte geplante Aufgabe über GPO, um Dateien auf allen Domänenmaschinen zu kopieren und auszuführen."] class action_impact action tech_scheduled["Technik – T1053 Geplante Aufgabe/Job Beschreibung Plant Ausführung von Befehlen zu definierten Zeiten."] class tech_scheduled technique tech_cmd["Technik – T1059.003 Befehl- und Skript-Interpreter Windows-Befehlszeile Beschreibung Führt Batch-Dateien mit cmd.exe aus."] class tech_cmd technique tech_rundll["Technik – T1218.011 System-binäre Proxy-Ausführung Rundll32 Beschreibung Lädt bösartige DLLs über rundll32.exe."] class tech_rundll technique %% Impact Preparation Connections action_impact –>|erstellt| tech_scheduled action_impact –>|führt aus| tech_cmd action_impact –>|nutzt| tech_rundll %% Ransomware Deployment Nodes action_ransom["Aktion – Bereitstellung von Ransomware Nutzlast versucht, Dateien zu verschlüsseln; Defender blockierte GPO-Verbreitung auf vielen Geräten."] class action_ransom action tech_encrypt["Technik – T1486 Datenverschlüsselung zur Beeinflussung Beschreibung Verschlüsselt Opferdaten, um Lösegeld zu verlangen."] class tech_encrypt technique %% Ransomware Deployment Connections action_ransom –>|nutzt| tech_encrypt %% Overall Flow Sequence recon_action –>|führt_zu| action_cred action_cred –>|führt_zu| action_persist action_persist –>|führt_zu| action_lateral action_lateral –>|führt_zu| action_evasion action_evasion –>|führt_zu| action_impact action_impact –>|führt_zu| action_ransom "

Angriffsfluss

Erkennungen

Mögliche Kerberoasting-Aktivität [korrelieren/bucket_span_10m/bis src_ipaddr] (via Audit)

SOC Prime Team

26. März 2026

Anzeigen

Mögliche AD Explorer-Tool-Muster (via cmdline)

SOC Prime Team

26. März 2026

Anzeigen

Deaktivieren der Echtzeitüberwachung von Windows Defender und andere Präferenzänderungen (via cmdline)

SOC Prime Team

26. März 2026

Anzeigen

Erkennung von Active Directory-Aufzählung und Anmeldeinformationen-Erfassungsaktivitäten [Microsoft Windows Security Event Log]

SOC Prime KI-Regeln

26. März 2026

Anzeigen

Simulationsausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorflugkontrolle muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

Angriffserzählung & Befehle

Active Directory-Aufzählung mit ADExplorer – Ein Angreifer nutzt das vorhandene Dienstprogrammat ADExplorer.exe , um die AD-Datenbank zu durchsuchen und ein Prozess-Erstellungsevent zu generieren, das mit Image|endet mit: 'ADExplorer.exe'.
Anmeldeinformationen Brute-Force (T1110) – Der Angreifer führt ein Passwort-Spray gegen ein Domänenkonto durch, was zu wiederholten fehlgeschlagenen Anmeldungen (Ereignis 4625) mit dem Fehlergrund %#13 („Der Benutzer hat versucht, sich von einer nicht vertrauenswürdigen Domäne aus anzumelden“).
Kerberoasting (T1558.003) – Mit dem Open-Source-Tool Rubeus, fordert der Angreifer Kerberos-Diensttickets für Computer-Konto-SPNs an (z. B. HOST01$). Jede Anfrage ergibt Ereignis 4769, wo ServiceName endet mit $.
NTDS-Dump (T1003.003) – Der Angreifer erstellt eine Volume-Schattenkopie des Systemlaufwerks und extrahiert NTDS.dit mit ntdsutil, was Ereignis 4662 mit ObjectType = "ds" and OperationType = "Replication".

Alle vier Aktionen werden innerhalb eines 5-Minuten-Zeitfensters auf demselben Host ausgeführt, um eine realistische nach der Kompromittierung ablaufende „Ernte“-Phase nachzuahmen.

Regressionstest-Skript

# -------------------------------------------------
# Simulationsskript – Löst alle vier Erkennungspfade aus
# -------------------------------------------------

# 1. ADExplorer-Ausführung (Prozesserstellung)
$adExplorerPath = "$env:ProgramFilesSysinternalsADExplorer.exe"
if (-Not (Test-Path $adExplorerPath)) {
    Write-Host "ADExplorer nicht gefunden – Platzhalter für den Test herunterladen."
    # Simulieren durch Kopieren einer beliebigen exe auf den erwarteten Namen
    Copy-Item "$env:SystemRootSystem32notepad.exe" $adExplorerPath
}
Start-Process -FilePath $adExplorerPath -ArgumentList "/quiet" -WindowStyle Hidden
Start-Sleep -Seconds 5

# 2. Brute-Force-Anmeldeversuche (4625 mit %#13)
$domain = "CONTOSO"
$user   = "testuser"
$badPwd = "IncorrectPassword123!"
1..3 | ForEach-Object {
    $null = [System.DirectoryServices.AccountManagement.PrincipalContext]::new('Domain', $domain).ValidateCredentials($user, $badPwd)
    Start-Sleep -Milliseconds 500
}

# 3. Kerberoasting mit Rubeus (erfordert Rubeus.exe im PATH)
$rubeusPath = "$env:ProgramFilesRubeusRubeus.exe"
if (-Not (Test-Path $rubeusPath)) {
    Write-Host "Rubeus nicht gefunden – Kerberoasting-Schritt wird übersprungen."
} else {
    & $rubeusPath kerberoast /outfile:"C:Tempkerb_tickets.kirbi"
}
Start-Sleep -Seconds 5

# 4. NTDS.dit-Extraktion mit VSS (4662 Replikation)
# Erstellen Sie eine VSS-Schattenkopie und kopieren Sie NTDS.dit
$shadow = (vssadmin list shadows | Select-String -Pattern "ShadowCopy Volume" -Context 0,1).Line.Split()[-1]
$ntdsSource = "$shadowWindowsNTDSNTDS.dit"
$ntdsDest   = "C:TempNTDS_dump.dit"
if (Test-Path $ntdsSource) {
    Copy-Item -Path $ntdsSource -Destination $ntdsDest -Force
}
Start-Sleep -Seconds 5

Write-Host "Simulation abgeschlossen. Alle Telemetriedaten sollten erfasst sein."

Bereinigungsbefehle

# -------------------------------------------------
# Bereinigung – entfernt durch die Simulation erstellte Artefakte
# -------------------------------------------------

# Entfernen Sie falschen ADExplorer, falls er erstellt wurde
Remove-Item -Path "$env:ProgramFilesSysinternalsADExplorer.exe" -ErrorAction SilentlyContinue

# Löschen Sie den Kerberos-Dump
Remove-Item -Path "C:Tempkerb_tickets.kirbi" -ErrorAction SilentlyContinue

# Löschen Sie den NTDS-Dump
Remove-Item -Path "C:TempNTDS_dump.dit" -ErrorAction SilentlyContinue

# Löschen Sie alle erstellten Schattenkopien (erfordert Admin)
# vssadmin delete shadows /all /quiet

Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten