DCShadow – jetzt geht’s rund bei Mimikatz

 In Firmen-News, Security

Seit ziemlich genau sechs Jahren zeigt Benjamin Delpy mit seinem Tool „Mimikatz“ Schwachstellen in der Verwaltung von zwischengespeicherten Anmeldedaten in Windows auf. Das Auslesen von hoch-privilegierten Konten, wie zum Beispiel Domain Admins, um diese zum Zugriff auf Domain Controller und damit die ganze AD-Infrastruktur zu verwenden, ist nur ein Beispiel für aktuelle Angriffe unter den Schlagwörtern ‚Credential Theft‘ und ‚Privilege Escalation‘. Soweit so gut. Mit Gegenmaßnahmen hierzu beschäftigen wir uns bei infoWAN schon eine ganze Weile.

DCShadow macht die Situation nicht einfacher

Jetzt geht Mimikatz mit DCShadow noch einen Schritt weiter. Es geht dabei nicht mehr darum, die Kontrolle zu erlangen, sondern sie auch langfristig zu behalten. Denn das größte Problem für Angreifer ist, sich unauffällig und unerkannt zu bewegen, um möglichst lange aktiv bleiben zu können. Dieser Blogbeitrag soll nicht in eine unendliche Techniktiefe abdriften, daher hier eine kurze Beschreibung des Wesentlichen.

Mit DCShadow ist es möglich, der bestehenden Active Directory Replikationstopolgie einen eigenen „Domain Controller“ hinzuzufügen, um Änderungen vornehmen zu können. Der Standardweg über ein volles Heraufstufen zum DC ist bekannt, Benjamin Delpy und sein Kompagnon Vincent Le Toux haben jetzt herausgefunden, welche Änderungen wirklich notwendig sind, um das als Angreifer zu erreichen. Diese sind dabei recht übersichtlich:

  • Setzen von zwei SPNs auf das Computerobjekt, das verwendet werden soll
  • Kleine Änderung in der Configuration Partition des Active Directory (nTDSDSA class object hinzufügen)

Mit diesen Modifikationen kann jeder Client und Server als Fake DC in die Replikationstopologie eingebunden werden. Anschließend muss lediglich eine Replikation angestoßen werden.

Die Änderungen bleiben dabei nicht dauerhaft bestehen, sondern werden nur sehr kurz vor und während des Schreibvorgangs gesetzt. Ein Erkennen ist deshalb eine Herausforderung.

Welche Konsequenzen ergeben sich daraus?

  1. Schützen Sie Ihre hoch-privilegierten AD-Konten, Angreifer brauchen entsprechende Berechtigungen für DCShadow
  2. Fokus auf Monitoring der bei DCShadow durchgeführten Änderungen
  3. Schützen Sie Ihre hoch-privilegierten AD-Konten (ja, man kann es nicht oft genug sagen)

Weiterführende Links zu technischen Details:

Natürlich haben wir in unseren Team Meetings schon darüber diskutiert, was DCShadow für uns und unsere Kunden bedeutet. Ob man sich deshalb gleich T-Shirts mit Memes dazu drucken lassen muss, sei einmal dahin gestellt. 😉

Recent Posts
Kontaktformular

Wir werden Sie so schnell wie möglich kontaktieren.

Start typing and press Enter to search