Erkennungsmethoden zur Abwehr von Angreifer-Techniken aus der Forschung „Domain of Thrones: Teil I“
Inhaltsverzeichnis:
Offensive Kräfte suchen kontinuierlich nach neuen Wegen, um Zugang zur Domainumgebung zu erlangen und ihre Präsenz durch den Einsatz mehrerer Angriffsvektoren und das Experimentieren mit verschiedenen Werkzeugen und Techniken der Gegner aufrechtzuerhalten. So können sie beispielsweise aufgedeckte Sicherheitslücken ausnutzen, wie im Fall der Versuche von Gegnern, die Schwachstelle in Microsofts Windows AD im Frühjahr 2023 auszunutzen,was zu potenziellen Privilegieneskalationsangriffen führen könnte.
Dieser Artikel basiert auf der Forschung von Nico Shyne und Josh Prager und gibt Einblicke in die Taktiken, Techniken und Verfahren (TTPs) der Angreifer, die genutzt werden, um Zugang innerhalb einer Domainumgebung zu erlangen und aufrechtzuerhalten, wie etwa den Diebstahl von Anmeldeinformationen auf dem Domänencontroller, die Synchronisierung von Active Directory (AD)-Konfigurationen, die Manipulation des Kerberos-Authentifizierungsprotokolls und die Ausnutzung von Zertifikaten. Um Verteidigern zu helfen, solche Angriffe abzuwehren, teilen wir mit Branchenkollegen eine Liste relevanter Erkennungsinhalte von der SOC Prime Plattform.
Erkennung von Angreifer-TTPs, beschrieben in der „Domain of Thrones: Part I“ Serie
Gegner suchen ständig nach neuen Wegen, um unbemerkt in das organisatorische Netzwerk einzudringen und dort hartnäckig zu bleiben. Da die Domänenausdauer als saftiges Ziel hervorsticht, nutzen Bedrohungsakteure verschiedene Techniken zum Missbrauch des Kerberos-Protokolls, um ihre böswilligen Ziele zu erreichen. Cyberverteidiger sollten die sich entwickelnden Angriffsmethoden genau im Auge behalten, um frühzeitig Eindringversuche zu erkennen und zu verhindern.
Um Sicherheitsexperten zu helfen, mit Angriffen auf die Domänenpersistenz Schritt zu halten, bietet die SOC Prime Plattform eine spezielle Reihe von Erkennungsregeln, die sich speziell mit den wichtigsten Angriffstechniken befassen, wie Anmeldeinformationsdiebstahl bei Domänencontrollern, Manipulationen des Kerberos-Protokolls oder Missbrauch von Active Directory.
Alle Erkennungen sind kompatibel mit 28 SIEM-, EDR-, XDR- und Data-Lake-Lösungen und auf das MITRE ATT&CK-Framework abgebildet, um die Bedrohungsermittlung zu rationalisieren und Zeit bei der Übersetzung von plattformübergreifenden Abfragen zu sparen. Zusätzlich wird jedes Erkennungsobjekt von umfangreichen Metadaten begleitet, einschließlich CTI-Links, ATT&CK-Referenzen, Auditkonfigurationen, Fehlalarmkontexten und Triage-Empfehlungen, die über Uncoder AI.
Erkunden Sie die Erkennungen Schaltfläche unten, um zu einer Sammlung kuratierter Sigma-Regeln zu gelangen und Ihre Bedrohungsjagdoperationen zu optimieren.
„Domain of Thrones: Part I“ Übersicht der Angreifertechniken
Da Angreifer kontinuierlich nach Wegen suchen, Zugang zur Ziel-Domainumgebung zu erhalten und dort unbemerkt zu bleiben, konzentrieren sich Verteidiger hauptsächlich auf die Mittel des wilden Zugangs der Gegner. Sie könnten jedoch den Zustand des post-Angriffs übersehen, der sofortige Abhilfemaßnahmen erfordert. Aufgrund einer wachsenden Zahl offensiver Operationen, die Domainumgebungen kompromittieren, sind Verteidiger besorgt darüber, wie sie die Kontrolle über die betroffene Domain zurückerlangen, das Vertrauen wiederherstellen und sicherstellen können, dass die betriebliche Effizienz erhalten bleibt.
Mehrere staatlich unterstützte Hacker-Kollektive wie FIN6, NICKEL oder Emissary Panda alias APT27 haben sich auf kritische Active Directory-Assets konzentriert, wie die NTDS.dit-Datei, das KRBTGT-Servicekonto oder AD-Zertifikate, und sich durch Phishing oder Ausnutzung von Schwachstellen Zugang verschafft. Sie nutzen normalerweise sowohl Standard- als auch benutzerdefinierte Tools, um Zugang zur Domain mit erhöhten Privilegien zu erlangen. Nach Bestätigung eines Einbruchs sollte der Fokus der Verteidiger darauf liegen, den Zugriff zu blockieren und die Domaingeheimnisse zu ändern, um weitere Kompromittierungen zu verhindern, während von den Erkennungstechnikern erwartet wird, Anzeichen der Domainresistenz zu identifizieren.
Gegner sind mit einer großen Bandbreite an Techniken zur Domänenausdauer ausgestattet, um die Zielumgebung zu kompromittieren. Beispielsweise können Angreifer mit Administratorrechten Anmeldeinformationen stehlen, indem sie Anwendungen verwenden, um Zugriff auf den LSASS.exe-Prozess zu erlangen. Unter Ausnutzung dieser illegal erworbenen Anmeldeinformationen können Bedrohungsakteure ihren Ausführungskontext ändern, sodass sie kritische Ressourcen erreichen und Aktionen ausführen können, die die Geschäftskontinuität einer Organisation erheblich beeinträchtigen können. Beispielsweise können sie native Windows LOLbinswie den Task-Manager nutzen, um Zugriff auf LSASS.exe mit den erforderlichen Berechtigungen zu erlangen und anschließend den virtuellen Speicher dieses Prozesses zu lesen. Hacker können auch die NTDS.dit-Datei der Organisationen ins Visier nehmen, mit dem Ziel, Zugriff auf die oder die Kopie der Datenbankdatei zu erhalten, um die erforderlichen Anmeldeinformationen zu sammeln.
Bösartige Akteure können auch die Goldene-Ticket-Technik über die Manipulation des Kerberos-Protokolls nutzen, um die Erkennung zu umgehen und in der kompromittierten Domainumgebung hartnäckig zu bleiben. Das Kerberos-Authentifizierungsprotokoll basiert auf Ticketanfragen und -erteilungen, um Benutzer für Remote-Ressourcen zu verifizieren. Das Passwort des KRBTGT-Servicekontos erstellt einen kryptografischen Schlüssel, der vom KDC verwendet wird, um Ticketgranting Tickets (TGTs) zu signieren und zu verschlüsseln, die zum Zugriff auf Remote-Ressourcen präsentiert werden. Angreifer können dann dieses gefälschte TGT anwenden, um sich zu authentifizieren. Alternativ können sie die Diamant-Ticket-Technik nutzen, um ein legitim ausgestelltes TGT vom Domänencontroller zu manipulieren, anstatt ihr eigenes zu erstellen. Was die Techniken zum Missbrauch von Zertifikaten betrifft, so können Hacker private Schlüssel der Zertifizierungsstelle (CA) erhalten und gefälschte Zertifikate erstellen, die mit dem gestohlenen Schlüssel signiert wurden.
Angriffe auf die Domänenpersistenz und verwandte Techniken der Gegner entwickeln sich kontinuierlich weiter und ermutigen Verteidiger, den Puls der aufkommenden offensiven Trends im Auge zu behalten und gleichzeitig über die Tools und Lösungen Bescheid zu wissen, die die Fähigkeiten der Cyberabwehr innerhalb der Domäne stärken. Nutzen Sie den Threat Detection Marketplace von SOC Prime um immer einen Schritt voraus zu sein und die Domainumgebung Ihrer Organisation proaktiv mit den kuratierten Erkennungsinhalten zu verteidigen, die mit umsetzbaren Metadaten angereichert und kontinuierlich aktualisiert werden.