Ransomware und Active Directory

  • Aktualisiert vor6 Monaten 
  • 3Minuten Lesezeit
  • 617Wörter
  • 86Leser

Ein Kommentar von Carolyn Crandall, Chief Security Advocate bei Attivo Networks
ALPHV BlackCat Ransomware ist äußerst raffiniert, da sie manuell über die Befehlszeile gesteuert wird, was es herkömmlichen Technologien schwer macht, diese Angriffen zu erkennen. BlackCat verwendet eine Vielzahl von Verschlüsselungsmodi, verschafft sich über laterale Bewegung administrative Rechte, um sich zwischen Computern zu verbreiten und andere Geräte zu verschlüsseln. Zudem löscht BlackCat Informationen, um eine Wiederherstellung zu verhindern. Diese Gruppe ist auch dafür bekannt, Daten zu stehlen, bevor sie Geräte verschlüsselt, und sie auf Data Leak Sites zu veröffentlichen, um den Druck auf ihre Opfer zu erhöhen.

Die Kompromittierung von Active Directory ist zum Standard-Angriffsvektor für Ransomware-Angriffe geworden und wurde zweifellos auch von dieser Ransomware genutzt, um die erforderliche Kontrolle über die angegriffene Domain zu erlangen. Active Directory ist die von Unternehmen am häufigsten genutzte Identitätsplattform und gibt Angreifern bei einer Kompromittierung die vollständige Kontrolle und die Möglichkeit, ihre Privilegien zu eskalieren, Sicherheitstools zu deaktivieren, sich lateral im Unternehmen zu bewegen und wertvolle Daten zu stehlen. Der Schutz von Active Directory wird derzeit weder von EDR-Lösungen noch von solchen für das Identity Access Management abgedeckt. Diese konzentrieren sich darauf, den Zugriff zu ermöglichen, anstatt ihn zu verweigern. Um Active Directory wirklich zu schützen, müssen Unternehmen einen mehrgleisigen Ansatz verfolgen, der die Härtung, die Erkennung von Aufklärungs-Aktivitäten und die Verhinderung der Kompromittierung von Domänen umfasst. Neuere IDR-Tools (Identity Detection and Response) sind zu einem unverzichtbaren Bestandteil des Sicherheits-Stacks geworden, um den Diebstahl und Missbrauch von Anmeldeinformationen sichtbar zu machen und zu erkennen.

Ein Angriff auf Active Directory funktioniert, indem Angreifer privilegierte Konten entdecken und dann Anmeldeinformationen wie Passwörter, Hashes und Kerberos-Tickets stehlen oder Brute-Force-Angriffe wie Passwort-Spray durchführen. Sobald ein Angreifer Accounts mit höheren Privilegien kompromittiert oder eine Schwachstelle in Active Directory gefunden hat, verwendet er Techniken wie Golden- oder Silver-Tickets und Domänenreplikation, um das AD zu übernehmen. Sobald dies geschehen ist, können Angreifer die damit verwalteten Systeme leicht kompromittieren, Hintertüren installieren, Sicherheitsrichtlinien ändern und die Ransomware schnell einsetzen.

Ausblick

Angreifer werden immer wieder neue Codes entwickeln, die darauf abzielen, die Abwehrsysteme von Endgeräten zu umgehen. RustyBuer und menschengesteuerte Ransomware sind Möglichkeiten, ein System zu kompromittieren und Hintertüren zu installieren, um ihren Angriff voranzutreiben. Der beste Schutz, abgesehen davon, dass man nicht auf unbekannte Links klickt und keine Makros aktiviert, ist die Installation von Sicherheitssoftware, die die laterale Bewegung eines Angreifers innerhalb des Netzwerks erkennen kann. Angreifer nutzen die Informationssuche, um ihre Ziele ausfindig zu machen und Anmeldedaten zu stehlen, um so ihre Berechtigungen zu erhöhen.

Wir wissen, dass Ransomware-Angreifer versuchen, Active Directory auszunutzen, um die Kontrolle zu erlangen, die sie benötigen, um Systeme zu verschlüsseln, Sicherheitseinstellungen zu ändern, Backups zu löschen und ihre Spuren zu verwischen. Die beste Verteidigung gegen diese und jede andere Form von Ransomware oder bösartiger Malware besteht darin, laterale Bewegungen zwischen Systemen zu verhindern und Active Directory zu schützen. Herkömmliche Sicherheitskontrollen bieten dieses Maß an Schutz nicht. Unternehmen müssen auf IDR-Lösungen zurückgreifen, um Anmeldedaten und Active Directory-Objekte zu schützen. Außerdem können sie ihre Angriffsfläche mit Tools zur Erkennung von Sicherheitsrisiken reduzieren, die ein Angreifer ausnutzen würde.

Active Directory-Kontrollen zur Erkennung von Live-Angriffen sind ein Muss, um Angreifer zu erkennen, die versuchen, massenhafte Kontoänderungen, Passwort-Spray-Angriffe, gefährliche Delegierung oder Domänenreplikationsaktivitäten durchzuführen. Wenn Kontrollen für die Identitätssicherheit vorhanden sind, kommt der Angreifer nicht weit, unabhängig von dem Code oder der Technik, die er zu benutzen versucht.

* * * * *

Publiziert durch connektar.de.

Veröffentlicht von:

Attivo Networks

Fremont Boulevard 46601
94538 Fremont
Deutschland
Telefon: +49 89 800 77-0
Homepage: https://www.prolog-pr.com/attivo

Avatar Ansprechpartner(in): Joe Weidner
Herausgeber-Profil öffnen

Firmenprofil:

Attivo Networks ist einer der führenden Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen bieten eine aktive Früherkennung, Forensik und automatisierte Reaktion auf netzwerkinterne Angriffe. Zum Portfolio gehören umfangreiche Täuschungs-Lösungen für unternehmensinterne Netzwerke, Endpoints und Datenzentren, die darauf ausgelegt sind, Angriffe von außen aufzudecken und sie proaktiv von allen unternehmenskritischen Vektoren fernzuhalten.

Die Attivo Networks ThreatDefend-Plattform ist eine umfassende und bereits in mehreren internationalen Unternehmen installierte Plattform zur präzisen Bedrohungserkennung in Unternehmensnetzwerken, Datenzentren und Cloud-Umgebung. Maschinelles Lernen, automatisierte Analysen und Reaktionen auf Vorfälle sorgen für schnelle Fehlerbehebung. Die Plattform ist einfach zu installieren und zu bedienen und zudem wartungsarm, daher eignet sie sich für Unternehmen jeder Größe.

Attivo Networks hat über 100 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten und ist laut Gartner ein Marktführer im Bereichen Deception-Technologie.

Informationen sind erhältlich bei:

Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München

fon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : achim.heinze@prolog-pr.com