Jump to content

Wenn alle laufenden DCs gehackt würden - Ransomware


Recommended Posts

Fragen an die Wissenden und sorry, wenn´s in der falschen Abteilung gelandet sein sollte:

 

 

In meinem kleinen Kreis laufen 2 physikalische DC und ein virtueller DC (alle 2019er). Die replizieren sich fehlerfrei.

 

Jetzt denke ich an einen möglichen Ransomware Angriff und möchte nicht nur meine VMs, Client-Images und aktuelle DB-Files extern in Sicherheit bringen fortlaufend, sondern auch meinen virtuellen DC. Der Tombstone-Range der DCs ist auf 365 angehoben.

 

1. Annahme: ich dokumentiere alle Änderungen am DC (user, PWs, Berechtigungen etc.).

2. Ich kopiere den virtuellen DC ins OFF ausserhalb des Netzes. Merke mir das Datum.

3. Das mache ich z.B. so jede 2. Woche mit dem laufenden aktuellen VM-DC. Die Änderungen (user, PWs und Berecht.) liefen bei mir bislang bis auf PWs gegen Null.

 

So weit so gut.

 

4. Jetzt mal angenommen die laufenden DCs (FSMO-Rollen hier) werden gehacked mit Ransomeware, dann würde ich sie platt machen. (Ein Image der phys. Maschinen VOR der Anhebung zum DC ist jeweils vorhanden und könnte zurückgespielt werden. (Name und IP würden erneuert später vor dem Promoten))

 

5. Ich würde jetzt die letzte aktuelle (ggf.  2 Wochen alte) DC-vm starten und die FSMO Rollen forcieren.

 

6. Alle Infos der beiden platt gemachten DC aus der FSMO-DC-vm löschen.

 

7. Nun die beiden phys. Server nacheinander wieder mit geändertem Namen (also statt des alten DC1 nun DC1b) und geänderten IPs !! zum DC promoten. 

 

8. die FSMO wieder auf einen phys. DC übertragen und die Infos der platt gemachten DCs überall dort löschen, wo sie auftreten. Dann checken, dass Repl. klappt.

 

9. Auf den ca. 10-15 Clients und Mitgliedsservern alle alten DC-Bezüge, d.h. DNS, neu anpassen.

 

9. Bis hierher nehme ich als Laie an, sollte das klappen.

 

Jetzt meine Frage an euch: habe ich irgendwo einen krassen Gedankenfehler gemacht?

 

Und sicherlich kann ich auch einen Hardware DC ausschalten und alle 2 Wochen zuschalten für ein paar Stunden, aber ich denke, einen virtuellen DC kann ich besser  hin und her kopieren.

 

Würde einer von euch mir den Gefallen tun, sich da mal reinzudenken, denn ich gehe davon aus, dass die Problemlage viele interessierte Mitglieder angehen könnte ( siehe letzter Hack in den USA).

 

Im Voraus schon mal danke.

 

PS: ich bin also keine ausgewiesene IT-Fachfrau - daher bitte bei AW daran denken.

Link to post

Aha, du meinst also, dass ein Backup ne gute Idee ist? Dann hast du recht. Dazu musst du nicht mal wissen was alles geändert wurde, solange du sicherstellen kannst, dass Backup ist konsistent. ;) der Rest ist dann Sache eines vernünftigen recoveryprozesses. Und da ist das ad zwar ein wichtiger, aber nicht der einzige Schritt ist. ;)

Link to post
Posted (edited)

Danke Dir für den Hinweis, dass AD recovery ein wichtiger, aber nicht einziger Schritt ist.

Genau das habe ich ausdrücklich in meinem Text anklingen lassen (2. Abschnitt).

 

Aber es geht mir hier jetzt ausschließlich um das AD und dessen Wiederherstellung mithilfe einer sagen wir 2-wochenalten VM (die offline war bei Hack) nach Verschlüsselung aller online gewesenen Geräte. DIE sind alle gebackuped und können supi neu aufgesetzt werden ohne Datenverlust.

 

 

Meine Aufmerksamkeit gilt den laufenden DCs mit AD, die im angenommenen Fall auch verschlüsselt wären und meine Bitte wäre an euch, mir zu sagen "ist es eine Möglichkeit, die AD so wie beschrieben, wiederherzustellen"?

Und was habe ich ggf. übersehen?

 

 

 

Edited by Täglichlerner
Link to post

Moin,

 

Du machst Dir das Leben viel zu schwer :-) Wie wäre es mit der folgenden Modifikation:

 

  1. Die VM hat alle FSMO-Rollen inne
  2. An dem Tag, wo Du ein Backup der VM über den Air Gap schickst, zwingst Du alle Member (die online sind, also zumindest alle Server) ihr Computer-Kennwort zu ändern

Wenn der Ernstfall kommt, machst Du folgendes:

  1. Physische DCs platt machen
  2. VM wiederherstellen
  3. Physische DCs aus den Metadaten bereinigen
  4. Physische DCs mit den alten Namen und IP-Adressen wieder promoten
  5. glücklich sein und Dich anspruchsvolleren Aufgaben zuwenden, die in solch einem Fall anfallen

Das ganze beruht natürlich darauf, dass Du von den Membern irgendwie ein sauberes Bare Metal-Backup hast, denn diese werden vermutlich noch vor den DCs verschlüsselt, und selbst wenn nicht, Persistence kannst Du auf Membern doch auch nicht ausschließen, wenn die Umgebung schon befallen ist...

Link to post

 

vor 3 Stunden schrieb Täglichlerner:

Aber es geht mir hier jetzt ausschließlich um das AD und dessen Wiederherstellung mithilfe einer sagen wir 2-wochenalten VM (die offline war bei Hack) nach Verschlüsselung aller online gewesenen Geräte.

 

Witzbold. Wenn alles verschlüsselt wurde und du sicherstellen kannst, dass deine Sicherung irgendwas starten kann, kann man natürlich mit einer 2 Wochen alten VM auch wieder an den Start gehen. Wo genau wär da jetzt das Problem? ;) Das kann man sogar "testen". Ansonsten eben... Metadatacleanup und schauen, dass du wenigstens zwei DCs recht schnell an den Start bekommst, und dann kommen deine 

vor 3 Stunden schrieb Täglichlerner:

supi neu aufgesetzt werden ohne Datenverlust.

Maschinen. ;)

Link to post

Moin,

 

was mir daran nicht schmeckt, ist das VM-basierte "Backup". Nennt mich konservativ, aber: Ich würde sowas höchstens als Zusatzoption machen, aber als Basis immer bei einem herkömmlichen Systemstate-Backup bleiben. Das hat eine ganze Reihe von Vorteilen - einer davon wäre für mich in dem Ransomware-Szenario der wichtigste: Es ist eben keine VM. Im Fall von Ransomware sollte man sich von dem Gedanken verabschieden, dass der Schaden in dem Moment eintritt, in dem der Angriff stattfindet. Eine 14 Tage alte VM, wie im Beispiel genannt, kann sehr gut bereits "gehackt" sein.

 

Es gibt kein einfaches Backup und erst recht kein einfaches Recovery in einem produktiv genutzten Netzwerk. 

 

Gruß, Nils

 

  • Like 3
Link to post

Für uns gesprochen:Restore from _nothing_ ist grad ein Thema. Also "kein Backup verfügbar", weder Veeam noch SystemState. Aus AD-Sicht:

1. Skript-Framework, das ein Grund-AD bereitstellt. Haben wir schon ewig. Erstellt Gruppen, OUs und Basis-Delegationen.

2. GPMC-Skripts - CreateXMLFromEnvironment und CreateEnvironmentFromXML

Damit ist man schon fast wieder operativ "from Scratch". Für kleine Umgebungen reicht Punkt 2 sogar aus - nur hat MS das nie irgendwie gut kommuniziert. Und die Sample Scripts muß man inzwischen mit der Lupe suchen - der MS-Download ist tot.

Link to post
vor 13 Minuten schrieb daabm:

der MS-Download ist tot.

nicht nur der. Hab neulich ExMon gesucht (und gefunden), aber ist schon schade, dass viele viele Links auf Hilfen und Downloads von MS inzwischen einfach komplett in 404 rennen. :/

Link to post
vor 7 Stunden schrieb daabm:

1. Skript-Framework, das ein Grund-AD bereitstellt. Haben wir schon ewig. Erstellt Gruppen, OUs und Basis-Delegationen.

2. GPMC-Skripts - CreateXMLFromEnvironment und CreateEnvironmentFromXML

Damit ist man schon fast wieder operativ "from Scratch". Für kleine Umgebungen reicht Punkt 2 sogar aus - nur hat MS das nie irgendwie gut kommuniziert. Und die Sample Scripts muß man inzwischen mit der Lupe suchen - der MS-Download ist tot.


Sehr interessanter Ansatz. Ich glaub ich muss mir da mal Zeit nehmen zum PowerShell‘n.


Was liefert denn MS Hausseitig dafür?

  • Like 1
Link to post

Moin,

 

ich verstehe die Idee, aber

vor 10 Stunden schrieb daabm:

Damit ist man schon fast wieder operativ

das ist doch sehr optimistisch gedacht. Wenn nicht noch sehr viel Automatisierung dazukommt, fehlt mit dieser Grundmethode doch das eigentlich Wichtige, nämlich die gesamte Berechtigungsstruktur - ohne Restore gibt es nun mal keine zu den ACLs passenden SIDs. Die müsste man also auch in einer Skriptlösung berücksichtigen. Und dann stellt sich mir die Sinnfrage.

 

Wenn wir bei den Details bleiben: Die Sample Scripts hatten/haben so ihre Tücken. Deshalb habe ich für Test- und Laborzwecke mal was gebaut.

 

[Active-Directory-Double als Testumgebung | faq-o-matic.net]
https://www.faq-o-matic.net/2006/12/17/active-directory-double-als-testumgebung/

 

[Domänen-Double für Testzwecke | faq-o-matic.net]
https://www.faq-o-matic.net/2016/05/02/domnen-double-fr-testzwecke/

 

 

Gruß, Nils

 

Edited by NilsK
  • Like 1
Link to post

@NilsK Klar fehlt die Berechtigungsstruktur. Aber hey, wir reden von "Disaster Recovery from nothing" - sogar wir nehmen hier Datenverlust und Datenschutzverletzungen in Kauf... Und ok, ich hab's nicht erwähnt, aber wir sichern auch alle nicht vererbten OU-Berechtigungen. Und zwar nicht mit SIDs, sondern auch mit Gruppennamen und mit der jeweiligen Objektvererbung (Du darfst gerne annehmen, daß wir uns mit SIDs und ACLs gut auskennen :-) - einer Wiederherstellung steht damit nichts im Weg. Ob "das eigentlich wichtige" tatsächlich die Rechtestruktur im AD ist (IMHO nein) oder doch eher die User-Accounts, die sich mit Computeraccounts verbinden, darüber kann man trefflich und lange diskutieren :-)

 

@MurdocX MS liefert nichts.

Link to post

Moin,

 

ich meine nicht die Berechtigungen im AD. Das ist in kleinen Umgebungen überhaupt kein Thema. Ich meine die "langweiligen" Berechtigungen in den Nutzdaten. Dateien, Datenbanken, Exchange ... du nennst es.

 

Dass ihr sowas könnt, wie du beschreibst, bezweifle ich keine Sekunde. (Naja, keine Minute.) Ob das für KMU geeignet ist ... da habe ich dann schon sehr grundsätzliche Zweifel. Ich verweise in dem Zusammenhang auf den Eröffnungsbeitrag, Punkt 9.

 

In einer KMU-Umgebung würde ich niemandem den Floh ins Ohr setzen, man könnte Backup und Recovery an den dafür vorgesehenen Funktionen vorbei aufbauen.

 

Gruß, Nils

 

Edited by NilsK
  • Like 1
Link to post

Ok, der Punkt geht an Dich. Wir sind kein KMU, und ich muß mich nur ums AD kümmern. Mein Vorteil :-) Und mein zweiter Vorteil: Um die Anwendungsberechtigungen "from nothing" müssen sich andere kümmern.

In einem KMU ist das definitiv eine größere Herausforderung, wenn der Admin nicht nur AD, sondern auch noch XCH und SQL machen muß.

 

Aber wie macht das KMU dann denn einen "Restore from nothing"? MIt irgendwas muß man ja anfangen können.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...