Jump to content

Cleanup ActiveDirectoy

SandyB

Von SandyB
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

SandyB Community Regular

SandyB   9

Geschrieben
Geschrieben (bearbeitet)

 

Hi,

Gibt es eine Beschreibung oder einen Prozess wie man verfahren soll, um aus einer kompromittierte Domäne einen erfolgreichen Angreifer rauszuwerfen.

Beispielsweise habe ich schon gefunden: 

- Neue Passwörter für die Adminaccounts 

- Reset krbtg-Account

- Trusts resetten

- SID-History löschen

- disable "rc4_hmac_md5" and below ciphers for Kerberostickets

- Wo im Directory könnte ein Angreifer mit Adminrechten noch Backdoors eingebaut haben, Da gibt  es sicher noch viele weitere Möglichkeiten.

 

Die genaue Größe und Struktur der Domäne kenne ich selbst noch nicht. Aber sie ist jedenfalls international verzweigt und läuft auf Windows 2012R2 DCs.

 

bearbeitet von SandyB
Link zu diesem Kommentar
v-rtc Veteran

v-rtc   81

Geschrieben
Geschrieben

Hallo, es gibt verschiedene Angriffsvektoren fürs AD und verschiedene Ansätze diese zu lösen bzw. zu prüfen.

Passwort ist zum Beispiel unter Umständen gar nicht so hilfreich, wenn man den Passwort Hash abgegriffen hat oder sich Golden Ticket oder Silver Ticket baut.

 

Daher wäre erst mal prüfen wie weit es kompromittiert wurde. Bist Du der Dienstleister? Ansonsten würde ich noch Experten hinzuziehen und ggf Systeme Offline schalten...

 

Viel Glück

Link zu diesem Kommentar
SandyB Community Regular

SandyB   9

Geschrieben
  • Autor
Geschrieben

Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft?

 

@daabm: Plattmachen ist keine Alternative,

 

@v-rtc: Soweit ich bis jetzt weiß, wurden Golden Tickets entdeckt und so flog die Attacke auf. Nein, ich bin weder Dienstleister, noch AD-Experte, eher das "Mädchen für Alles", das sich auf morgen schonmal vorbereiten will. 

Link zu diesem Kommentar
v-rtc Veteran

v-rtc   81

Geschrieben
Geschrieben
11 minutes ago, SandyB said:

Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft?

 

@daabm: Plattmachen ist keine Alternative,

 

@v-rtc: Soweit ich bis jetzt weiß, wurden Golden Tickets entdeckt und so flog die Attacke auf. Nein, ich bin weder Dienstleister, noch AD-Experte, eher das "Mädchen für Alles", das sich auf morgen schonmal vorbereiten will. 

Ich meine die sagen Neu. Oder @daabm?

 

ok. Dann hol Dir einen Dienstleister und macht es zusammen. Bzw entwickelt ein Plan.

Link zu diesem Kommentar
MurdocX Veteran

MurdocX   903

Geschrieben
Geschrieben
vor einer Stunde schrieb SandyB:

Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft?

Gibt es denn DEN Standard um ein AD zu kompromittieren? Neee ;-) Das ist nicht wie bei einem Client einfach von USB/CD/DVD booten und die Viren entfernen.

 

Das ist wie mit Schimmel an der Wand. Man weiß zwar wie man ihn los wird, aber erst mal nicht wie tief er schon in der Wand ist und damit immer wieder kommt.

 

vor einer Stunde schrieb daabm:

Ja, gibt es: Löschen und from scratch... Wenn der Angreifer gut ist, kann er sich so verstecken, daß Du ihn nie findest. Gibt genügend Stellen, die auch erfahrene Admins nicht auf dem Schirm haben - alleine schon die ganzen Autoruns, die Dir Sysinternals anzeigt. Dann noch WMI Event Sinks usw... As said: From scratch.

Ich bin der gleichen Ansicht. Laut einer Statistik von Microsoft wird ein unbemerkter Zugriff erst im Schnitt nach einem Jahr bemerkt/aufgedeckt. Wer weiß wie lange der Zugriff schon besteht.

Link zu diesem Kommentar
daabm Grand Master

daabm   1.184

Geschrieben
Geschrieben
vor 1 Stunde schrieb SandyB:

Gibt es für dieses Scenario kein standardisiertes Vorgehen von Microsoft?

 

@daabm: Plattmachen ist keine Alternative,

Mir war klar, daß Du das sagst - das ergab sich schon aus dem Eingangs-Post, und ich kann es sogar verstehen. Du kannst ja mal mit Heise/Mitsubishi/Stadtverwaltung abc/Krankenhaus xyz Kontakt aufnehmen, die aber alle "nur" nen Krypto-Trojaner hatten. Golden Ticket ist eine andere Hausnummer, da weiß der Angreifer so ungefähr alles, was er wissen wollte. Wenn er ganz cool war, hat er Euch (bzw. dem Kunden) nen PWFilter auf den DCs untergeschoben und damit ungefähr alle Kennwörter im Klartext abgegriffen.

 

Das standardisierte Vorgehen von MS ist m.W. genau dieses: Rebuild from scratch.

 

Mir ist völlig klar, daß ich das bei uns auch nicht machen wollte. Das wäre ein Super-GAU. Aber mental bin ich darauf vorbereitet, daß es passieren kann.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.781

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

vor 11 Stunden schrieb MurdocX:

Das ist wie mit Schimmel an der Wand. Man weiß zwar wie man ihn los wird, aber erst mal nicht wie tief er schon in der Wand ist und damit immer wieder kommt.

die Analogie ist gar nicht schlecht. So können Silver Tickets in manchen Situationen auch genutzt werden, neue Golden Tickets zu erzeugen, nachdem der krbtgt-Account zurückgesetzt wurde ... 

 

Zitat

Wo im Directory könnte ein Angreifer mit Adminrechten noch Backdoors eingebaut haben

Überall. Nicht nur im AD. Mit einem Golden Ticket konnte der Angreifer "alles", also auch auf jeden Rechner im AD mit vollen Rechten drauf. Und von dort mit ziemlicher Sicherheit auch auf Nicht-AD-Systeme, weil in der Praxis eben Zugangsdaten an vielen Stellen hinterlegt sind.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
Squire Veteran

Squire   211

Geschrieben
Geschrieben
13 hours ago, daabm said:

Ja, gibt es: Löschen und from scratch... Wenn der Angreifer gut ist, kann er sich so verstecken, daß Du ihn nie findest. Gibt genügend Stellen, die auch erfahrene Admins nicht auf dem Schirm haben - alleine schon die ganzen Autoruns, die Dir Sysinternals anzeigt. Dann noch WMI Event Sinks usw... As said: From scratch.

 

Du kannst einen Account im AD mit hohen Rechten so verstecken, dass ihn niemand sieht! Auch wenn andere als Org oder Dom Admins danach suchen

Link zu diesem Kommentar
mwiederkehr Mentor

mwiederkehr   351

Geschrieben
Geschrieben

Versteckte Accounts sollte man auch finden können, indem man eine Offline-Kopie der ntds.dit mit einem dafür geeigneten Viewer öffnet. So gelten keine Berechtigungen, die sonst Objekte ausblenden würden.

 

So lässt sich evtl. die Domäne retten, aber nicht die Server. Auf denen kann an vielen Orten eine Hinterlassenschaft vom Angreifer versteckt sein.

Link zu diesem Kommentar
v-rtc Veteran

v-rtc   81

Geschrieben
Geschrieben
2 hours ago, SandyB said:

Die Dämme scheinen gehalten zu haben. 

Dank ziemlich aufwändiger Protectionkonzepte konnte der Angriff rechtzeitig unterbrochen werden und die Kill-Chain lässt sich mit den vorliegenden Monitoring-Daten relativ gut zurückverfolgen.

 

Trotzdem Danke für den seelischen Beistand gestern abend :-)

 

  

Kannst Du ein bisschen darüber erzählen?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...