Attraktive Konten für den Diebstahl von Anmeldeinformationen

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Beim Diebstahl von Anmeldeinformationen verschafft sich ein Angreifer zunächst Zugriff auf einen Computer in einem Netzwerk mit den höchsten Rechten (Root, Administrator oder SYSTEM, je nach verwendetem Betriebssystem) und verwendet dann frei verfügbare Tools, um Anmeldeinformationen aus den Sitzungen anderer angemeldeter Konten zu extrahieren. Je nach Systemkonfiguration können diese Anmeldeinformationen in Form von Hashes, Tickets oder auch Klartext-Kennwörtern extrahiert werden. Wenn einige der erbeuteten Anmeldeinformationen für lokale Konten gelten, die wahrscheinlich auch auf anderen Computern im Netzwerk vorhanden sind (z. B. Administratorkonten in Windows oder Stammkonten in OSX, UNIX oder Linux), verwendet der Angreifer die Anmeldeinformationen auf anderen Computern im Netzwerk, um die Kompromittierung auf weitere Computer auszuweiten und zu versuchen, die Anmeldeinformationen für zwei bestimmte Arten von Konten zu erhalten:

  1. Domänenkonten mit umfassenden und tiefgreifenden Berechtigungen (d. h. Konten, die auf vielen Computern und in Active Directory über Berechtigungen auf Administratorebene verfügen). Diese Konten sind vielleicht nicht Mitglied einer der Gruppen mit den höchsten Berechtigungen in Active Directory, aber ihnen wurden möglicherweise Berechtigungen auf Administratorebene für viele Server und Arbeitsstationen in der Domäne oder Gesamtstruktur gewährt, was sie effektiv so mächtig macht wie Mitglieder von privilegierten Gruppen in Active Directory. In den meisten Fällen sind Konten, denen über weite Teile der Windows-Infrastruktur hohe Berechtigungsstufen gewährt wurden, Dienstkonten, daher sollten Dienstkonten immer nach Breite und Tiefe der Berechtigungen bewertet werden.

  2. Domänenkonten sehr wichtiger Personen (VIPs). Im Kontext dieses Dokuments ist ein VIP-Konto jedes Konto, das Zugriff auf Informationen hat, die einen Angreifer interessieren (geistiges Eigentum und andere vertrauliche Informationen), oder jedes Konto, das verwendet werden kann, um dem Angreifer Zugriff auf diese Informationen zu verschaffen. Beispiele für diese Benutzerkonten sind:

    1. Führungskräfte, deren Konten Zugriff auf vertrauliche Unternehmensinformationen haben

    2. Konten für Helpdeskmitarbeiter, die für die Verwaltung der von Führungskräften verwendeten Computer und Anwendungen verantwortlich sind

    3. Konten für Mitarbeiter der Rechtsabteilung, die Zugriff auf die Angebots- und Vertragsdokumente einer Organisation haben, unabhängig davon, ob die Dokumente für die eigene Organisation oder Kundenorganisationen bestimmt sind

    4. Produktplaner, die Zugriff auf Pläne und Spezifikationen für Produkte in der Entwicklungspipeline eines Unternehmens haben, unabhängig von den Produkttypen, die das Unternehmen herstellt

    5. Forscher, deren Konten verwendet werden, um auf Studiendaten, Produktformeln oder andere Forschungsarbeiten zuzugreifen, die für einen Angreifer von Interesse sind

Da Konten mit umfassenden Rechten in Active Directory dazu verwendet werden können, Kompromittierungen zu verbreiten und VIP-Konten oder die Daten, auf die sie zugreifen können, zu manipulieren, sind die nützlichsten Konten für Angriffe zum Diebstahl von Anmeldeinformationen Konten, die Mitglieder der Gruppen „Unternehmensadministratoren“, „Domänenadministratoren“ und „Administrator“ in Active Directory sind.

Da Domänencontroller die Repositorys für die AD DS-Datenbank sind und Domänencontroller vollen Zugriff auf alle Daten in Active Directory haben, sind Domänencontroller ebenfalls Ziel von Angriffen, sei es parallel zum Diebstahl von Anmeldeinformationen oder nachdem ein oder mehrere Active Directory-Konten mit umfassenden Rechten kompromittiert wurden. Zahlreiche Veröffentlichungen (und viele Angreifer) konzentrieren sich bei der Beschreibung von Pass-the-Hash- und anderen Angriffen zum Diebstahl von Anmeldeinformationen auf die Mitgliedschaft in Domänenadministratorgruppen (wie unter Reduzieren der Active Directory-Angriffsfläche beschrieben), allerdings kann ein Konto, das Mitglied einer der hier aufgeführten Gruppen ist, ebenfalls verwendet werden, um die gesamte AD DS-Installation zu kompromittieren.

Hinweis

Umfassende Informationen zu Pass-the-Hash- und anderen Angriffen zum Diebstahl von Anmeldeinformationen finden Sie im Whitepaper Entschärfen von Pass-the-Hash-Angriffen (PTH) und anderen Techniken zum Diebstahl von Anmeldeinformationen, das in Anhang M: Links zu Dokumenten und empfohlene Lektüre aufgeführt ist. Weitere Informationen zu Angriffen durch bestimmte Angreifer, die manchmal auch als „erweiterte persistente Bedrohung“ (APTs) bezeichnet werden, finden Sie unter Ermittelte Angreifer und gezielte Angriffe.

Aktivitäten, die die Wahrscheinlichkeit einer Kompromittierung erhöhen

Da das Ziel beim Diebstahl von Anmeldeinformationen in der Regel Domänen- und VIP-Konten mit umfassenden Rechten sind, müssen Administratoren auf Aktivitäten achten, die die Erfolgswahrscheinlichkeit eines Angriffs zum Stehlen der Anmeldeinformationen erhöhen. Angreifer haben es zwar auch auf VIP-Konten abgesehen, aber wenn VIP-Konten in Systemen oder in der Domäne nicht über umfassende Rechte verfügen, erfordert der Diebstahl ihrer Anmeldeinformationen andere Arten von Angriffen, z. B. Social Engineering des VIPs, um geheime Informationen bereitzustellen. Oder der Angreifer muss zuerst privilegierten Zugriff auf ein System erhalten, auf dem VIP-Anmeldeinformationen zwischengespeichert werden. Aus diesem Grund konzentrieren sich die hier beschriebenen Aktivitäten, die die Wahrscheinlichkeit des Diebstahls von Anmeldeinformationen erhöhen, in erster Linie darauf, den Erwerb Anmeldeinformationen von Administratorkonten mit umfassenden Rechten zu verhindern. Diese Aktivitäten sind gängige Mechanismen, mit denen Angreifer Systeme kompromittieren können, um privilegierte Anmeldeinformationen zu erhalten.

Verwenden von Konten mit umfassenden Rechten zum Anmelden bei ungesicherten Computern

Das zentrale Sicherheitsrisiko, das Angriffen zum Stehlen von Anmeldeinformationen zum Erfolg verhilft, besteht darin, dass Sie sich mit Konten, die in der gesamten Umgebung über umfassende Rechte verfügen, auf nicht sicheren Computern anmelden. Diese Anmeldungen können das Ergebnis verschiedener Fehlkonfigurationen sein, die hier beschrieben werden.

Keine Verwaltung separater Administratoranmeldeinformationen

Obwohl dies relativ ungewöhnlich ist, haben wir bei der Bewertung verschiedener AD DS-Installationen festgestellt, dass IT-Mitarbeiter ein einziges Konto für ihre gesamte Arbeit verwenden. Das Konto ist Mitglied mindestens einer der Gruppen mit umfassenden Rechten in Active Directory, und es ist dasselbe Konto, das die Mitarbeiter verwenden, um sich morgens an ihren Arbeitsstationen anzumelden, ihre E-Mails abzurufen, auf Internetseiten zu surfen und Inhalte auf ihre Computer herunterzuladen. Wenn Benutzer mit Konten ausgeführt werden, denen lokale Administratorrechte und Berechtigungen gewährt wurden, machen sie den lokalen Computer für eine vollständige Kompromittierung anfällig. Wenn diese Konten auch Mitglieder der Gruppen mit den höchstmöglichen Berechtigungen in Active Directory sind, setzen sie die gesamte Gesamtstruktur einer Kompromittierung aus, sodass es für einen Angreifer leicht ist, die vollständige Kontrolle über die Active Directory- und Windows-Umgebung zu erlangen.

Ebenso haben wir in einigen Umgebungen festgestellt, dass die gleichen Benutzernamen und Kennwörter für Stammkonten auf Nicht-Windows-Computern wie in der Windows-Umgebung verwendet werden, wodurch Angreifer die Kompromittierung von UNIX- oder Linux-Systemen auf Windows-Systeme und umgekehrt erweitern können.

Anmeldungen bei kompromittierten Arbeitsstationen oder Mitgliedsservern mit Konten mit umfassenden Rechten

Wenn ein Domänenkonto mit umfassenden Rechten verwendet wird, um sich interaktiv bei einer kompromittierten Workstation oder einem Mitgliedsserver anzumelden, kann dieser kompromittierte Computer Anmeldeinformationen von jedem Konto abgreifen, das sich bei dem System anmeldet.

Nicht gesicherte administrative Arbeitsstationen

In vielen Organisationen verwenden IT-Mitarbeiter mehrere Konten. Ein Konto wird für die Anmeldung bei der Arbeitsstation des Mitarbeiters verwendet, und da es sich um IT-Mitarbeiter handelt, verfügen diese häufig über lokale Administratorrechte auf ihren Arbeitsstationen. In einigen Fällen ist die UAC aktiviert, sodass der Benutzer bei der Anmeldung wenigstens ein geteiltes Zugriffstoken erhält und eine Erhöhung ausführen muss, wenn Berechtigungen erforderlich sind. Wenn diese Benutzer Wartungsaktivitäten ausführen, verwenden sie in der Regel lokal installierte Verwaltungstools und geben die Anmeldeinformationen für ihre Konten mit Dömänenrechten an, indem sie die Option Als Administrator ausführen auswählen oder die Anmeldeinformationen angeben, wenn Sie dazu aufgefordert werden. Obwohl diese Konfiguration geeignet erscheinen mag, macht sie die Umgebung aus folgenden Gründen für eine Kompromittierung anfällig:

  • Das „normale“ Benutzerkonto, das der Mitarbeiter zum Anmelden bei seiner Arbeitsstation verwendet, verfügt über lokale Administratorrechte, der Computer ist anfällig für Drive-by-Download-Angriffe, bei denen der Benutzer dazu verleitet wird, Schadsoftware zu installieren.
  • Die Schadsoftware wird im Kontext eines Administratorkontos installiert, der Computer kann jetzt verwendet werden, um Tastaturanschläge, Zwischenablageinhalte, Screenshots und Anmeldeinformationen aus dem Arbeitsspeicher zu erfassen, von denen alle zur Offenlegung der Anmeldeinformationen eines leistungsstarken Domänenkontos führen können.

Zwei Probleme tun sich in diesem Szenario auf. Zum einen werden zwar separate Konten für die lokale und Domänenverwaltung verwendet, der Computer ist aber ungesichert und schützt die Konten nicht vor Diebstahl. Zum anderen wurden dem normalen Benutzerkonto und dem Administratorkonto übermäßige Rechte und Berechtigungen gewährt.

Durchsuchen des Internets mit einem Konto mit umfassenden Rechten

Benutzer, die sich bei Computern mit Konten anmelden, die Mitglieder der lokalen Gruppe „Administratoren“ auf dem Computer oder Mitglieder privilegierter Gruppen in Active Directory sind und die dann im Internet (oder einem kompromittierten Intranet) surfen, machen den lokalen Computer und das Verzeichnis für eine Kompromittierung anfällig.

Der Zugriff auf eine in böswilliger Absicht erstellte Website mit einem Browser, der mit Administratorrechten ausgeführt wird, kann es einem Angreifer ermöglichen, schädlichen Code im Kontext des privilegierten Benutzers auf dem lokalen Computer zu platzieren. Wenn der Benutzer über lokale Administratorrechte auf dem Computer verfügt, können Angreifer den Benutzer dazu verleiten, schädlichen Code herunterzuladen oder E-Mail-Anlagen zu öffnen, die Sicherheitslücken in Anwendungen ausnutzen und die Berechtigungen des Benutzers nutzen, um lokal zwischengespeicherte Anmeldeinformationen für alle aktiven Benutzer auf dem Computer zu extrahieren. Wenn der Benutzer über Administratorrechte im Verzeichnis verfügt, weil er Mitglied in den Gruppen „Unternehmensadministratoren“, „Domänenadministratoren“ oder „Administratoren“ in Active Directory ist, kann der Angreifer die Domänenanmeldeinformationen extrahieren und verwenden, um die gesamte AD DS-Domäne oder -Gesamtstruktur zu kompromittieren, ohne einen anderen Computer in der Gesamtstruktur kompromittieren zu müssen.

Konfigurieren von lokalen privilegierten Konten mit den gleichen Anmeldeinformationen für mehrere Systeme

Die Konfiguration desselben Namens und Kennworts für das lokale Administratorkonto auf vielen oder allen Computern ermöglicht es, dass aus der SAM-Datenbank auf einem Computer gestohlene Anmeldeinformationen verwendet werden können, um alle anderen Computer zu kompromittieren, die dieselben Anmeldeinformationen verwenden. Sie sollten für lokale Administratorkonten wenigstens in jedem in die Domäne eingebundenen System unterschiedliche Kennwörter verwenden. Lokale Administratorkonten können auch eindeutig benannt werden, aber die Verwendung unterschiedlicher Kennwörter für die privilegierten lokalen Konten jedes Systems ist ausreichend, um sicherzustellen, dass Anmeldeinformationen nicht auf anderen Systemen verwendet werden können.

Zu viele Benutzer in privilegierten Domänengruppen und zu häufige Nutzung dieser Gruppen

Durch das Gewähren der Mitgliedschaft in den EA-, DA- oder BA-Gruppen in einer Domäne schaffen Sie ein Ziel für Angreifer. Je größer die Anzahl der Mitglieder dieser Gruppen ist, desto größer ist die Wahrscheinlichkeit, dass ein privilegierter Benutzer die Anmeldeinformationen versehentlich missbraucht und für Angriffe zum Diebstahl von Anmeldeinformationen verfügbar macht. Jede Arbeitsstation oder jeder Server, bei dem sich ein Benutzer einer privilegierten Domäne anmeldet, stellt einen möglichen Mechanismus dar, mit dem die Anmeldeinformationen des privilegierten Benutzers erbeutet und verwendet werden können, um die AD DS-Domäne und -Gesamtstruktur zu kompromittieren.

Schlecht gesicherte Domänencontroller

Domänencontroller beherbergen ein Replikat der AD DS-Datenbank einer Domäne. Bei schreibgeschützten Domänencontrollern enthält das lokale Replikat der Datenbank nur die Anmeldeinformationen für eine Teilmenge der Konten im Verzeichnis, von denen standardmäßig keines ein privilegiertes Domänenkonto ist. Auf Domänencontrollern mit Lese-/Schreibzugriff verwaltet jeder Domänencontroller ein vollständiges Replikat der AD DS-Datenbank, einschließlich Anmeldeinformationen nicht nur für privilegierte Benutzer wie Domänenadministratoren, sondern auch für privilegierte Konten wie Domänencontrollerkonten oder das Krbtgt-Konto der Domäne, das dem KDC-Dienst auf Domänencontrollern zugeordnet ist. Wenn zusätzliche Anwendungen, die für die Domänencontrollerfunktionalität nicht erforderlich sind, auf Domänencontrollern installiert werden, oder wenn Domänencontroller nicht streng gepatcht und gesichert werden, können Angreifer diese über nicht gepatchte Sicherheitsrisiken kompromittieren oder andere Angriffsvektoren nutzen, um Schadsoftware direkt auf ihnen zu installieren.

Erhöhen und Verteilen von Berechtigungen

Unabhängig von den verwendeten Angriffsmethoden ist Active Directory immer ein Ziel, wenn eine Windows-Umgebung angegriffen wird, da es letztendlich den Zugriff auf das kontrolliert, was die Angreifer wollen. Dies bedeutet jedoch nicht, dass das gesamte Verzeichnis als Ziel verwendet wird. Bestimmte Konten, Server und Infrastrukturkomponenten sind in der Regel die primären Ziele von Angriffen auf Active Directory. Diese Konten werden wie folgt beschrieben.

Dauerhaft privilegierte Konten

Seit der Einführung von Active Directory ist es möglich, Konten mit umfassenden Rechten zum Aufbau der Active-Directory-Gesamtstruktur zu verwenden und dann die für die tägliche Verwaltung erforderlichen Rechte und Berechtigungen an weniger privilegierte Konten zu delegieren. Die Mitgliedschaft in den Gruppen „Unternehmensadministratoren“, „Domänenadministratoren“ oder „Administratoren“ in Active Directory ist nur vorübergehend erforderlich und in einer Umgebung, in der Ansätze mit den geringsten Berechtigungen für die tägliche Verwaltung implementiert werden, selten.

Dauerhaft privilegierte Konten sind Konten, die in privilegierten Gruppen platziert wurden und dort längerfristig verbleiben. Wenn Ihre Organisation fünf Konten in die Gruppe „Domänenadministratoren“ für eine Domäne platziert, können diese fünf Konten 24 Stunden am Tag und sieben Tage die Woche als Ziel verwendet werden. Die tatsächliche Notwendigkeit, Konten mit Domänenadministratorberechtigungen zu verwenden, besteht jedoch in der Regel nur für bestimmte domänenweite Konfigurationen und für kurze Zeit.

VIP-Konten

Ein häufig übersehenes Ziel bei Active Directory-Verstößen sind die Konten von „sehr wichtigen Personen“ (oder VIPs) in einer Organisation. Privilegierte Konten werden als Ziel verwendet, da diese Konten Angreifern Zugriff gewähren können, wodurch sie Zielsysteme kompromittieren oder sogar zerstören können, wie weiter oben in diesem Abschnitt beschrieben.

Active Directory-Konten mit „besonderen Berechtigungen“

Active Directory-Konten mit „besonderen Berechtigungen“ sind Domänenkonten, die nicht zu Mitgliedern einer der Gruppen mit den höchsten Berechtigungsstufen in Active Directory gemacht wurden, sondern stattdessen auf vielen Servern und Arbeitsstationen in der Umgebung hohe Berechtigungsstufen erhalten haben. Bei diesen Konten handelt es sich in den meisten Fällen um domänenbasierte Konten, die für die Ausführung von Diensten auf mit Domänen verknüpften Systemen konfiguriert sind, in der Regel für Anwendungen, die in großen Abschnitten der Infrastruktur ausgeführt werden. Obwohl diese Konten keine Berechtigungen in Active Directory haben, können sie, wenn ihnen hohe Berechtigungen für eine große Anzahl von Systemen gewährt wurden, verwendet werden, um große Teile der Infrastruktur zu kompromittieren oder sogar zu zerstören, was den gleichen Effekt wie die Kompromittierung eines privilegierten Active Directory-Kontos erzielt.