SandyB 9 Geschrieben 30. Januar 2020 Melden Teilen Geschrieben 30. Januar 2020 (bearbeitet) Hi, Gibt es eine Beschreibung oder einen Prozess wie man verfahren soll, um aus einer kompromittierte Domäne einen erfolgreichen Angreifer rauszuwerfen. Beispielsweise habe ich schon gefunden: - Neue Passwörter für die Adminaccounts - Reset krbtg-Account - Trusts resetten - SID-History löschen - disable "rc4_hmac_md5" and below ciphers for Kerberostickets - Wo im Directory könnte ein Angreifer mit Adminrechten noch Backdoors eingebaut haben, Da gibt es sicher noch viele weitere Möglichkeiten. Die genaue Größe und Struktur der Domäne kenne ich selbst noch nicht. Aber sie ist jedenfalls international verzweigt und läuft auf Windows 2012R2 DCs. bearbeitet 30. Januar 2020 von SandyB Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 30. Januar 2020 Melden Teilen Geschrieben 30. Januar 2020 Hallo, es gibt verschiedene Angriffsvektoren fürs AD und verschiedene Ansätze diese zu lösen bzw. zu prüfen. Passwort ist zum Beispiel unter Umständen gar nicht so hilfreich, wenn man den Passwort Hash abgegriffen hat oder sich Golden Ticket oder Silver Ticket baut. Daher wäre erst mal prüfen wie weit es kompromittiert wurde. Bist Du der Dienstleister? Ansonsten würde ich noch Experten hinzuziehen und ggf Systeme Offline schalten... Viel Glück Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 30. Januar 2020 Melden Teilen Geschrieben 30. Januar 2020 Ja, gibt es: Löschen und from scratch... Wenn der Angreifer gut ist, kann er sich so verstecken, daß Du ihn nie findest. Gibt genügend Stellen, die auch erfahrene Admins nicht auf dem Schirm haben - alleine schon die ganzen Autoruns, die Dir Sysinternals anzeigt. Dann noch WMI Event Sinks usw... As said: From scratch. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 30. Januar 2020 Autor Melden Teilen Geschrieben 30. Januar 2020 Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft? @daabm: Plattmachen ist keine Alternative, @v-rtc: Soweit ich bis jetzt weiß, wurden Golden Tickets entdeckt und so flog die Attacke auf. Nein, ich bin weder Dienstleister, noch AD-Experte, eher das "Mädchen für Alles", das sich auf morgen schonmal vorbereiten will. Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 30. Januar 2020 Melden Teilen Geschrieben 30. Januar 2020 11 minutes ago, SandyB said: Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft? @daabm: Plattmachen ist keine Alternative, @v-rtc: Soweit ich bis jetzt weiß, wurden Golden Tickets entdeckt und so flog die Attacke auf. Nein, ich bin weder Dienstleister, noch AD-Experte, eher das "Mädchen für Alles", das sich auf morgen schonmal vorbereiten will. Ich meine die sagen Neu. Oder @daabm? ok. Dann hol Dir einen Dienstleister und macht es zusammen. Bzw entwickelt ein Plan. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 30. Januar 2020 Melden Teilen Geschrieben 30. Januar 2020 vor einer Stunde schrieb SandyB: Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft? Gibt es denn DEN Standard um ein AD zu kompromittieren? Neee Das ist nicht wie bei einem Client einfach von USB/CD/DVD booten und die Viren entfernen. Das ist wie mit Schimmel an der Wand. Man weiß zwar wie man ihn los wird, aber erst mal nicht wie tief er schon in der Wand ist und damit immer wieder kommt. vor einer Stunde schrieb daabm: Ja, gibt es: Löschen und from scratch... Wenn der Angreifer gut ist, kann er sich so verstecken, daß Du ihn nie findest. Gibt genügend Stellen, die auch erfahrene Admins nicht auf dem Schirm haben - alleine schon die ganzen Autoruns, die Dir Sysinternals anzeigt. Dann noch WMI Event Sinks usw... As said: From scratch. Ich bin der gleichen Ansicht. Laut einer Statistik von Microsoft wird ein unbemerkter Zugriff erst im Schnitt nach einem Jahr bemerkt/aufgedeckt. Wer weiß wie lange der Zugriff schon besteht. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 30. Januar 2020 Melden Teilen Geschrieben 30. Januar 2020 vor 1 Stunde schrieb SandyB: Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft? @daabm: Plattmachen ist keine Alternative, Mir war klar, daß Du das sagst - das ergab sich schon aus dem Eingangs-Post, und ich kann es sogar verstehen. Du kannst ja mal mit Heise/Mitsubishi/Stadtverwaltung abc/Krankenhaus xyz Kontakt aufnehmen, die aber alle "nur" nen Krypto-Trojaner hatten. Golden Ticket ist eine andere Hausnummer, da weiß der Angreifer so ungefähr alles, was er wissen wollte. Wenn er ganz cool war, hat er Euch (bzw. dem Kunden) nen PWFilter auf den DCs untergeschoben und damit ungefähr alle Kennwörter im Klartext abgegriffen. Das standardisierte Vorgehen von MS ist m.W. genau dieses: Rebuild from scratch. Mir ist völlig klar, daß ich das bei uns auch nicht machen wollte. Das wäre ein Super-GAU. Aber mental bin ich darauf vorbereitet, daß es passieren kann. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 31. Januar 2020 Melden Teilen Geschrieben 31. Januar 2020 (bearbeitet) Moin, vor 11 Stunden schrieb MurdocX: Das ist wie mit Schimmel an der Wand. Man weiß zwar wie man ihn los wird, aber erst mal nicht wie tief er schon in der Wand ist und damit immer wieder kommt. die Analogie ist gar nicht schlecht. So können Silver Tickets in manchen Situationen auch genutzt werden, neue Golden Tickets zu erzeugen, nachdem der krbtgt-Account zurückgesetzt wurde ... Zitat Wo im Directory könnte ein Angreifer mit Adminrechten noch Backdoors eingebaut haben Überall. Nicht nur im AD. Mit einem Golden Ticket konnte der Angreifer "alles", also auch auf jeden Rechner im AD mit vollen Rechten drauf. Und von dort mit ziemlicher Sicherheit auch auf Nicht-AD-Systeme, weil in der Praxis eben Zugangsdaten an vielen Stellen hinterlegt sind. Gruß, Nils bearbeitet 31. Januar 2020 von NilsK Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 31. Januar 2020 Melden Teilen Geschrieben 31. Januar 2020 13 hours ago, daabm said: Ja, gibt es: Löschen und from scratch... Wenn der Angreifer gut ist, kann er sich so verstecken, daß Du ihn nie findest. Gibt genügend Stellen, die auch erfahrene Admins nicht auf dem Schirm haben - alleine schon die ganzen Autoruns, die Dir Sysinternals anzeigt. Dann noch WMI Event Sinks usw... As said: From scratch. Du kannst einen Account im AD mit hohen Rechten so verstecken, dass ihn niemand sieht! Auch wenn andere als Org oder Dom Admins danach suchen Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 31. Januar 2020 Melden Teilen Geschrieben 31. Januar 2020 Moin, ja. Sowas hab ich mal in einer Session gezeigt. ["Versteckte" Accounts im Active Directory aufspüren | faq-o-matic.net]https://www.faq-o-matic.net/2017/04/18/versteckte-accounts-im-active-directory-aufspren/ Gruß, Nils Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 31. Januar 2020 Melden Teilen Geschrieben 31. Januar 2020 Versteckte Accounts sollte man auch finden können, indem man eine Offline-Kopie der ntds.dit mit einem dafür geeigneten Viewer öffnet. So gelten keine Berechtigungen, die sonst Objekte ausblenden würden. So lässt sich evtl. die Domäne retten, aber nicht die Server. Auf denen kann an vielen Orten eine Hinterlassenschaft vom Angreifer versteckt sein. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 31. Januar 2020 Autor Melden Teilen Geschrieben 31. Januar 2020 Die Dämme scheinen gehalten zu haben. Dank ziemlich aufwändiger Protectionkonzepte konnte der Angriff rechtzeitig unterbrochen werden und die Kill-Chain lässt sich mit den vorliegenden Monitoring-Daten relativ gut zurückverfolgen. Trotzdem Danke für den seelischen Beistand gestern abend Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 31. Januar 2020 Melden Teilen Geschrieben 31. Januar 2020 2 hours ago, SandyB said: Die Dämme scheinen gehalten zu haben. Dank ziemlich aufwändiger Protectionkonzepte konnte der Angriff rechtzeitig unterbrochen werden und die Kill-Chain lässt sich mit den vorliegenden Monitoring-Daten relativ gut zurückverfolgen. Trotzdem Danke für den seelischen Beistand gestern abend Kannst Du ein bisschen darüber erzählen? Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 31. Januar 2020 Autor Melden Teilen Geschrieben 31. Januar 2020 Ehrlich gesagt nein. Nicht weil ich nicht wollte, sondern weil ich selbst nur wenige Details mitbekommen habe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.