SOC Prime Bias: Hoch

10 Jul 2026 18:23 UTC

Impacket für Penetrationstester: Techniken zum Passwortwechsel

Author Photo
SOC Prime Team linkedin icon Folgen
Impacket für Penetrationstester: Techniken zum Passwortwechsel
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Dieser Artikel erklärt, wie Active Directory-Fehlkonfigurationen ausgenutzt werden können, um mit dem Impacket-Toolkit Benutzerpasswörter zwangsweise zurückzusetzen. Er konzentriert sich auf das impacket-changepasswd Dienstprogramm, das die Reset Password ACE nutzen kann, um eine Kontoübernahme zu ermöglichen. Die Technik unterstützt mehrere Protokolle, einschließlich SMB-SAMR, RPC-SAMR, LDAP und Kerberos.

Ermittlung

Der Bericht präsentiert ein Laborszenario, in dem einem Benutzer Rechte zum Zurücksetzen des Passworts über ein anderes Kontoobjekt gewährt wurden. Es durchläuft mehrere Authentifizierungsansätze, einschließlich Klartext-Anmeldedaten, Pass-the-Hash, Pass-the-Key und Nutzung des Kerberos TGT-Caches, um Kontopasswörter über verschiedene Protokolle zu manipulieren.

Minderung

Verteidiger sollten regelmäßig Active Directory-ACLs mit Tools wie BloodHound prüfen, um zu umfassend gewährte Reset Password-Rechte zu identifizieren. Die Anwendung eines gestaffelten Administrationsmodells und die Verwendung der Sicherheitsgruppe ‚Geschützte Benutzer‘ können die Exposition erheblich reduzieren. Die Durchsetzung von LDAP-Signierungen und die Implementierung von Credential Guard werden ebenfalls empfohlen.

Reaktion

Wenn verdächtige Aktivitäten festgestellt werden, sollten Sicherheitsteams die Windows Event IDs untersuchen 4723, 4724, 4738, 4771, und 5136. Analysten sollten bestätigen, ob das Zurücksetzen des Passworts autorisiert war, und die Umgebung auf ungewöhnlichen SAMR-Verkehr oder LDAP-Verzeichnisänderungen prüfen. Sofortmaßnahmen sollten das Überprüfen der Berechtigungen des betroffenen Kontos und das Rotieren der Anmeldedaten für möglicherweise kompromittierte Admin-Benutzer umfassen.

Angriffsablauf

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtigen Sie mich

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Basis-Prüfungstest muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Taktik, Technik und Prozedur (TTP) des Gegners, die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue von der Erkennungslogik erwartete Telemetrie zu generieren. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Ein Angreifer hat erfolgreich ein Benutzerkonto mit delegierten Berechtigungen kompromittiert oder hat Privilegien auf die Ebene eines Domain-Admins erhöht. Um eine langfristige Persistenz sicherzustellen und eine Erkennung in einer späteren Phase des Betriebs zu vermeiden, entscheidet sich der Angreifer, das Passwort eines bekannten Dienstkontos zurückzusetzen. Indem er native PowerShell-Tools nutzt (Set-ADAccountPassword or net user), versucht der Angreifer, das Passwort von Service_SVCzu ändern. Diese Aktion ist eine klassische „Living off the Land“-Technik, die darauf abzielt, sich in routinemäßige administrative Aufgaben einzufügen, dennoch löst sie spezifische Windows Sicherheitsereignis-IDs (4724/4738) aus, die die Erkennungsregel erfassen soll.

  • Regressionstest-Skript:

    # Simulationsskript: Passwortzurücksetzung über PowerShell
    # Hinweis: Dies muss in einer kontrollierten Laborumgebung mit geeigneten Berechtigungen durchgeführt werden.
    
    $TargetUser = "Service_SVC"
    
    Write-Host "[*] Überprüfen, ob der Zielbenutzer existiert..." -ForegroundColor Cyan
    if (Get-ADUser -Filter "SamAccountName -eq '$TargetUser'") {
        Write-Host "[+] Zielbenutzer $TargetUser gefunden. Fortfahren mit der Passwortzurücksetzungssimulation..." -ForegroundColor Green
    
        # Ereignis-ID 4724 / 4738 generieren
        try {
            $NewPassword = ConvertTo-SecureString "SimulatedPass123!" -AsPlainText -Force
            Set-ADAccountPassword -Identity $TargetUser -NewPassword $NewPassword
            Write-Host "[+] ERFOLG: Passwortzurücksetzung ausgelöst. Überprüfen Sie die Sicherheitsprotokolle für Ereignis-ID 4724/4738." -ForegroundColor Green
        } catch {
            Write-Host "[-] FEHLER: Passwortzurücksetzung fehlgeschlagen. Stellen Sie sicher, dass Sie als Admin/Autorisierter Benutzer angemeldet sind." -ForegroundColor Red
            Write-Error $_
        }
    } else {
        Write-Host "[-] FEHLER: Zielbenutzer $TargetUser nicht gefunden. Bitte erstellen Sie zuerst den Benutzer." -ForegroundColor Red
    }
  • Säuberungsbefehle:

    # Säuberungsskript: Ursprungszustand wiederherstellen
    $TargetUser = "Service_SVC"
    $OriginalPassword = ConvertTo-SecureString "Original_Safe_Pass_2025!" -AsPlainText -Force
    
    Write-Host "[*] Ursprüngliches Passwort für $TargetUser wiederherstellen..." -ForegroundColor Cyan
    Set-ADAccountPassword -Identity $TargetUser -NewPassword $OriginalPassword
    Write-Host "[+] Säuberung abgeschlossen." -ForegroundColor Green