DFSCoerce-Erkennung: Neuer NTLM-Relay-Angriff ermöglicht Übernahme von Windows-Domains
Inhaltsverzeichnis:
Bereiten Sie sich auf einen neuen PetitPotam-ähnlichen NTLM-Relay-Angriff vor, der die vollständige Übernahme eines Windows-Domains durch Missbrauch des Microsoft Distributed File Systems (MS-DFSNM) ermöglicht. Die neue Angriffsmethode, genannt DFSCoerce, erlaubt es Angreifern, Windows-Server zur Authentifizierung mit einem von Hackern kontrollierten Relay zu zwingen. Auch Domänencontroller (DC) sind anfällig, was ein erhebliches Risiko der gesamten Domänenkompromittierung darstellt. Der Proof-of-Concept (PoC) Skript um den DFSCoerce NTLM-Relay-Angriff in Aktion zu demonstrieren, ist öffentlich über GitHub verfügbar, daher werden bald Missbrauchsversuche in freier Wildbahn erwartet.
DFSCoerce NTLM-Relay-Angriff erkennen
Um sich gegen neue DFSCoerce NTLM-Relay-Angriffe zu schützen und die mit den zugehörigen Bedrohungen verbundenen bösartigen Aktivitäten rechtzeitig zu identifizieren, hat das Team der Content-Entwickler von SOC Prime kürzlich eine spezielle Sigma-Regel in der Detection as Code Plattform veröffentlicht:
Möglicher DFSCoerce / MS-DFSNM NTLM-Relay-Angriff (über Audit)
Diese Erkennung ist in 17 SIEM-, EDR- und XDR-Sprachenformaten anwendbar, die von der Plattform von SOC Prime unterstützt werden und dem MITRE ATT&CK®-Framework zuzuordnen sind, das sich mit Taktiken der Sammlung und seitlichen Bewegung befasst, mit Adversary-in-the-Middle (T1557) und Remote Services (T1021) als korrespondierende Primärtechniken.
Sicherheitspraktiker können auf diesen Inhalt zugreifen, nachdem sie sich bei der Plattform von SOC Prime angemeldet oder eingeloggt haben. Darüber hinaus können Benutzer von SOC Prime sofort nach Bedrohungen suchen, die mit der DFSCoerce-Methode von Angreifern über das Quick Hunt-Modul und die oben erwähnte Sigma-basierte Jagdanfrage verbunden sind.
Um ständig über die sich ständig ändernde Bedrohungslandschaft informiert zu bleiben und die bösartige Präsenz in Ihrer Umgebung rechtzeitig zu identifizieren, kuratiert die Plattform von SOC Prime über 190.000 einzigartige Detection-as-Code-Inhalte, die auf die spezifischen Bedürfnisse von Organisationen zugeschnitten sind. Um noch mehr SOC-Inhalte zur Erkennung von NTLM-Relay-Angriffen zu erkunden, klicken Sie auf Erkennen & Jagen Schaltfläche und stöbern Sie in der gesamten Liste der Sigma-Regeln, die den berüchtigten PetitPotam-Exploit ansprechen. Um sofort in den umfassenden Kontext der Cyber-Bedrohung einzutauchen, der von Sigma-Regeln begleitet wird, die den ausgewählten Suchkriterien entsprechen, bietet SOC Prime ein leistungsstarkes Tool, das das Durchsuchen nach APTs, Exploits oder anderen relevanten Bedrohungen ohne Registrierung ermöglicht.
Erkennen & Jagen Bedrohungskontext erkunden
DFSCoerce-Analyse
Um die kritischen Risiken zu veranschaulichen, die durch den neuen DFSCoerce NTLM-Relay-Angriff entstehen, hat der Sicherheitsexperte Filip Dragovic ein Proof-of-Concept-Skript veröffentlicht, das Authentifizierungsversuche zu den Windows-Servern über MS-DFSNM weiterleitet. Die neue Angriffsmethode ist tatsächlich die Ableitung des berüchtigten PetitPotam, der das Microsoft Encrypting File System Protocol (MS-EFSRPC) missbraucht, um den Authentifizierungsprozess innerhalb entfernter Windows-Instanzen zu initiieren und sie zu zwingen, die NTLM-Hashes dem Angreifer preiszugeben. Infolgedessen erhält der Angreifer ein Authentifizierungszertifikat, das auf alle Domänendienste, einschließlich des DC, anwendbar ist.
DFSCoerce basiert auf einer ähnlichen Routine, nutzt jedoch MS-DFSNM anstelle von MS-EFSRPC, um Angreifern die Möglichkeit zu geben, mit dem Windows Distributed File System über eine Remote Procedure Call (RPC) Schnittstelle zu operieren. Folglich kann ein Bedrohungsakteur, der begrenzten Zugang zu einer Windows-Domäne erlangt, leicht zum Domänenadministrator werden und jedes von ihm gewünschte Kommando ausführen.
Sicherheitsforscher empfehlen, dass Benutzer, die möglicherweise auf der Angriffsziele-Liste stehen, die RPC-Filter von Windows aktivieren oder die RPC-Firewall verwenden sollten. Weitere Optionen umfassen den Schutz von Authentifizierungsanmeldeinformationen durch Aktivierung des erweiterten Schutzes für Authentifizierung und Signierungsfunktionen.
Melden Sie sich kostenlos auf der SOC Prime Detection as Code Plattform an, um eine sicherere Zukunft zu gestalten, die mit den besten Praktiken der Sicherheitsbranche und geteilter Expertise erstellt wurde. Die Plattform ermöglicht es Sicherheitspraktikern, ihre SOC-Operationen zu optimieren, indem sie an erstklassigen Initiativen teilnehmen, ihre Routine anpassen, um sich besser vor immer wieder auftretenden Bedrohungen zu schützen, und ihre Sicherheitswerkzeuge für die bestmögliche Leistung integrieren.
