PetitPotam NTLM Relay-Angriffserkennung

[post-views]
Juli 28, 2021 · 5 min zu lesen
PetitPotam NTLM Relay-Angriffserkennung

Der Juli bleibt ein anstrengender Monat für Microsoft. Nach den kritischen PrintNightmare (CVE-2021-1675) und HiveNightmare (CVE-2021-36934) Sicherheitslücken haben Sicherheitsforscher eine kritische Sicherheitslücke identifiziert, die zu einer vollständigen Kompromittierung der Windows-Domäne führen könnte. Das Problem, genannt PetitPotam, nutzt das Encrypting File System Remote Protocol (MS-EFSRPC) aus und ermöglicht Angreifern, NTLM-Relay-Angriffe durchzuführen.

PetitPotam Angriff Überblick

Am 23. Juli 2021 teilte Gilles Lionel einen Proof-of-Concept (PoC) Exploit für ein brandneues PetitPotam Sicherheitsloch. Dieses Problem betrifft Microsoft Active Directory Certificate Services (AD CS), die zur Sicherstellung von Funktionen der Public Key Infrastructure (PKI) verwendet werden. Folglich kann das PetitPotam Angriffszenario in den meisten Unternehmensumgebungen ausgenutzt werden.

PetitPotam nutzt das Encrypting File System Remote Protocol (MS-EFSRPC), um den Authentifizierungsprozess in entfernten Windows-Instanzen zu initiieren und diese zu zwingen, die NTLM-Hashes an den Gegner zu offenbaren, erklärt das Internet Storm Center des SANS Institute . Insbesondere missbraucht der Angreifer LSARPC und zwingt jeden angegriffenen Server, einschließlich Domänencontroller (DC), mit dem bösartigen beliebigen Server zu verbinden und die NTLM-Authentifizierung durchzuführen. Infolgedessen erhält der Gegner ein Authentifizierungszertifikat, das zum Zugriff auf beliebige Domänendienste, einschließlich des DC, verwendet werden kann.. Particularly, the attacker misuses LSARPC and forces any targeted server, including domain controller (DC), to connect the malicious arbitrary server and proceed with the NTLM authentication. As a result, the adversary obtains an authentication certificate applicable to access any domain services, including the DC.

Trotz der verheerenden Folgen und der leichten Durchführung des PetitPotam Angriffs gibt es einige Einschränkungen für die Angreifer. Laut den Forschungsergebnissen müssen Bedrohungsakteure SYSTEM/ADMIN-Privilegien erlangen oder verdeckte bösartige Infrastruktur im LAN aufrechterhalten, um die gestohlenen Anmeldedaten zurück an den DC oder andere interne Instanzen zu übertragen. Allerdings macht das Vorhandensein von HiveNightmare und PrintNightmare den Eskalationsteil des Angriffs zu einer einfachen Aufgabe.

PetitPotam Angriffserkennung und -minderung

Laut den Forschern sind die meisten unterstützten Windows-Versionen anfällig für PetitPotam. Derzeit wurde die Technik erfolgreich gegen Windows 10, Windows Server 2016 und Windows Server 2019 eingesetzt.

Um Sicherheitsexperten zu helfen, möglichen PetitPotam-Angriffen standzuhalten, hat Microsoft ein spezielles Sicherheitshinweis veröffentlicht, in dem das Extended Protection for Authentication Feature bekannt gegeben wird. Um die Infrastruktur eines Unternehmens zu sichern und die PetitPotam-Minderung sicherzustellen, wird empfohlen, dass Dienste, die NTLM-Authentifizierung ermöglichen, SMB-Signierung oder Extended Protection for Authentication Schutz verwenden. Dies ermöglicht es Servern mit AD CS (Active Directory Certificate Services), die Verwundbarkeit gegen mögliche NTLM-Relay-Angriffe zu mindern.

SOC Prime hat eine Hunting-Regel veröffentlicht, die die Erkennung einer möglichen PetitPotam-Angriffsausnutzung ermöglicht.

Mögliche PetitPotam Angriffs-Ausnutzung [MS-EFSRPC/ADCS-PKI] (über Audit)

Um mögliche Angriffe gegen eine Umgebung zu erkennen, sucht die Regel nach Ereignissen mit TGT-Anforderung (Ereignis-Code 4768), insbesondere nach dem Abschnitt der Zertifikatinformationen, der Daten über den Zertifikataussteller-Namen, die Seriennummer und den Fingerabdruck enthält.

Die Hunting-Regel ist für die folgenden SIEM- und Sicherheitsanalytik-Plattformen verfügbar:

Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB, Securonix

Diese Regel ist abgebildet auf die MITRE ATT&CK Methodik und adressiert die Taktiken Zugang zu Anmeldeinformationen und die Technik erzwungene Authentifizierung (t1187) sowie die Sub-Technik LLMNR/NBT-NS-Poisoning und SMB-Relay (t1557.001).

Updates vom 3. September 2021:

Benutzer des Threat Detection Marketplace können sich jetzt auf zwei weitere Regeln beziehen, die auf die Erkennung des PetitPotam Angriffs abzielen.

PetitPotam Verdächtige Kerberos TGT-Anfrage

Diese Regel, geschrieben von Mauricio Velazco, Michael Haag, erkennt verdächtige Kerberos TGT-Anfragen. Sobald ein Angreifer ein Computerzertifikat erhält, indem er Active Directory Certificate Services in Kombination mit PetitPotam missbraucht, wäre der nächste Schritt, das Zertifikat für böswillige Zwecke zu verwenden. Eine Möglichkeit, dies zu tun, besteht darin, ein Kerberos Ticket Granting Ticket mit einem Tool wie Rubeus anzufordern. Diese Anfrage erzeugt ein Ereignis 4768 mit einigen ungewöhnlichen Feldern, abhängig von der Umgebung.

Die Regel hat Übersetzungen für die folgenden Plattformen:

Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix

Die Regel ist auf das MITRE ATT&CK Framework abgebildet, um die Taktiken für Zugriff auf Anmeldeinformationen und erzwungene Authentifizierungstechnik (t1187) zu adressieren.

Möglicher PetitPotam Erzwungener Authentifizierungsversuch

Diese Regel, ebenfalls entwickelt von Mauricio Velazco, Michael Haag, erkennt erzwungene Authentifizierungsaktivitäten von PetitPotam.

Die Erkennung ist für die folgenden Plattformen verfügbar:

Azure Sentinel, ELK Stack, Splunk, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix

Die Regel ist auf das MITRE ATT&CK Framework abgebildet, um die Taktiken für Zugriff auf Anmeldeinformationen und erzwungene Authentifizierungstechnik (t1187) zu adressieren.

Bitte hier nachsehen um die vollständige Liste der mit dem PetitPotam-Angriff in Zusammenhang stehenden Erkennungen zu überprüfen.

Erkunden Sie den Threat Detection Marketplace, um über 100.000 qualifizierte, plattformübergreifende und toolübergreifende Erkennungsregeln zu erreichen, die auf über 20 marktführende SIEM-, EDR-, NTDR- und XDR-Technologien zugeschnitten sind. Sie können auch über SOC Primes Threat Bounty Program zur weltweiten Cyber-Community beitragen, indem Sie Ihre eigenen Erkennungsinhalte auf der Detection as Code-Plattform veröffentlichen und für Ihre Beiträge belohnt werden.

Zur Plattform gehen Threat Bounty beitreten

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko