Bringen Sie mich zu Ihrem Domänencontroller: Schutzmaßnahmen und Gegenmaßnahmen mit Zero-Trust-Tools

In part 1 of this blog series, we looked at how discovery methods can be used in an initial compromise. The second showed an example of identity theft using pass-the-hash techniques combined with remote access tools for lateral movement. In this final part, we look at how to mitigate against lateral movement. We have already discussed the practical example of the two complementary approaches that enable lateral movement: application-level and network-level.

Es sollte klar sein, dass wir mit Netzwerkebene eigentlich die Host-to-Host-Kommunikation über das Netzwerk meinen, nicht unbedingt Netzwerkgeräte wie Switches oder Router. Bei einem Host kann es sich um einen Workload handeln, z. B. bei einem Domänencontroller, einem Datenbankserver, der entweder physisch, virtuell oder sogar containerisiert ist. Die Anwendungsebene bezieht sich auch auf das, was im Inneren des Hosts selbst passiert. Zum Beispiel Binärdateien auf dem Datenträger, Prozesse im Arbeitsspeicher, Registrierungsaktionen usw.

Während der im vorherigen Blog beschriebenen lateralen Bewegung wurde die Mimikatz-fähige Pass-the-Hash-Technik innerhalb des Betriebssystems auf Anwendungsebene verwendet, indem gehashte Anmeldeinformationen aus dem Windows LSASS-Prozessspeicher abgerufen wurden.

Das von diesem Angriff abgeleitete Token für erhöhte Zugriffsrechte wurde dann verwendet, um den Remotezugriff mithilfe des PAexec-Tools zu ermöglichen, das Windows SCM nutzt.

Analysing this specific attack sequence against the two levels described above, the application-level of the system would have to prevent the use of Mimikatz first or failing that PAexec, based on default-deny using an allowlist of applications. Alternatively, we would have to detect the process launch in memory by, for example, monitoring loaded DLLs or API calls. The network-level would have to enforce microsegmentation at the host level to prevent movement between systems even if they may be on the same subnet or VLAN. Traffic baselining will also make it possible to detect any anomalies like data exfiltration.

Die folgende Abbildung zeigt die statische Analyse von Mimikatz- und PAExec-Binärdateien sowie einige der Systemabhängigkeiten wie DLLs, die importiert werden.

Der laufende Prozess im Speicher zeigt uns den Prozessbaum von cmd, der sowohl für die Mimikatz-Pass-the-Hash als auch für die anschließende PAExec-Verbindung zum Domänencontroller verwendet wurde.

Die Forensik auf dem Zielsystem, in diesem Fall dem Domänencontroller, zeigt auch die Binärdatei an, die auf dem Domänencontroller verwendet wird, um die Remoteverwaltung und in diesem Fall die laterale Verschiebung zu erleichtern.

Und das Bild unten zeigt auch den zugehörigen Dienst.

Standardmäßig wird die standardmäßige Namenskonvention sowohl für die binären als auch für die resultierenden Prozessnamen verwendet. Dies kann natürlich von einem Bedrohungsakteur geändert werden.

Therefore, it is important that mitigation approaches take these levels of attack into consideration – protections that look at the application-level threats and protections that look at network-level security with a focus on the host-to-host communication. This will then mean that the security stays and moves with the host or workload being protected (e.g., the domain controller machine as a workload and the endpoint machines that access the domain controller).

Durch die Anwendung dieses zweistufigen Konzepts auf die Domäne und die zugehörigen Server und Clients zeigt die folgende Infografik einige der wichtigen Sicherheitsüberlegungen zum Schutz vor Bedrohungen für die Domänencontroller und andere Domänensysteme, die in dieser Blogreihe erläutert werden.

A good starting point of information is Microsoft's Best Practices for Securing Active Directory, which details common-sense approaches, like no logging on to unsecured computers with privileged accounts or browsing the Internet normally with a highly privileged account or even directly from domain controllers. Effective privilege management and application allow lists can also automate the restriction of privileged account usage across the domain and prevent the use of unsanctioned applications.

Auf der Anwendungsebene des Systemschutzes kann beispielsweise Endpoint Detection and Response (EDR) in Kombination mit Identity & Privilege Management-Lösungen auf Basis von Zero Trust dazu beitragen, Bedrohungen auf Anwendungsebene auf dem Domain-System wie Diebstahl von Anmeldeinformationen und LSASS-Speichermanipulation mit Tools wie Mimikatz oder Rubeus zu bewältigen (auch wenn sie nur im Speicher ausgeführt werden und die Festplatte nicht berühren).

Das folgende Beispiel zeigt ein solches Beispiel aus einer EDR-Lösung, CrowdStrike Falcon, die eine Reihe von bösartigen Verhaltensweisen auf Anwendungs- und Systemebene erkennt.

At the network-level of the system, like with the domain controller and other domain systems, host-based microsegmentation solutions like Illumio Core can provide Zero Trust security and microsegmentation. Illumio Edge extends this protection to the endpoints in and outside the domain. This is especially true for cases of zero-day vulnerabilities and in cases where threats are missed by application- and system-level endpoint security.

Die meisten modernen Netzwerke sind heterogen, komplex und ausgedehnt, insbesondere im Zeitalter der Fernarbeit. Das hat zur Folge, dass es nicht besonders einfach ist, die Sicherheit zu gewährleisten, ohne vorher eine fokussierte Strategie zu haben. Insbesondere bei großen Netzwerken scheint es aufgrund der schieren Anzahl unterschiedlicher, komplexer Systeme mit unterschiedlichen Sicherheitsrichtlinien fast unmöglich zu sein, eine effektive Sicherheit zu erreichen. Daher ist es wichtig, zu den Grundlagen zurückzukehren, um:

1. Wissen, was Sie haben
2. Wissen, was sie tun
3. Sichern Sie sie

Dies gilt insbesondere dann, wenn Workloads im Rechenzentrum oder in der Cloud gespeichert werden. Der einfachste und effektivste Weg, um herauszufinden, was Sie haben, besteht darin, die Systeme zunächst nach bestimmten Attributen wie Standort, Umgebung und Anwendung zu gruppieren. Auf diese Weise lassen sich kritische Systeme und Anwendungsgruppen, gruppenübergreifend verwendete Kerndienste und andere weniger wichtige Systeme und Anwendungen leicht identifizieren. Natürlich liegt der Hauptfokus dann auf den kritischsten Assets, Kronjuwelenanwendungen und Kerndiensten.

Effektive Sicherheit existiert nicht isoliert, daher muss jeder Ansatz die folgenden wichtigen Überlegungen berücksichtigen:

• Sichtbarkeit
• Integration
• Skalierbare Leistung
• Wirksamkeit

The first important point is visibility. As shown in the example below from Illumio's Core solution for Zero Trust workload protection, application dependency mapping and showing different application groups and their connections paves the way for informed policy definition and provisioning directly on host systems like domain controllers, database servers, and other critical workload systems in the domain – physical, virtual, containers, or cloud. This means that microsegmentation can be applied even in a flat brownfield environment with systems that span different geographic locations and exist on different platforms. This helps in knowing what your systems do on the network. The example below shows the application groups and their traffic relationships in an application dependency map.

Solche nützlichen Informationen auf Systemebene können auch in bestehende Sicherheitsinvestitionen wie SIEMs, Schwachstellenscanner oder CMDBs integriert werden. Im folgenden Beispiel werden Informationen aus der hostbasierten Mikrosegmentierungslösung in eine SIEM- oder Security-Analytics-Lösung eingespeist. Dieses Beispiel zeigt die Integration mit Splunk SIEM:

Und in diesem zweiten Beispiel mit QRadar:

Das bedeutet, dass neue Lösungen mit bestehenden Sicherheitsinvestitionen kombiniert werden können, um die gesamten Domänensysteme zu schützen. Die Leistung und Effektivität von Sicherheitslösungen in großem Maßstab sollte ebenfalls ein wichtiger Aspekt sein, damit die Sicherheit sowohl in festen als auch in agilen Umgebungen wie Containern oder Cloud-Migrationen nach oben oder unten skaliert werden kann.

Sobald diese alle vorhanden sind, ist es einfach, konsistente Sicherheitsrichtlinien für alle Systeme zu definieren, um anomales Verhalten zu überwachen, zu erkennen und zu verhindern. Die folgende Abbildung zeigt die verschiedenen Arten von Mikrosegmentierungsrichtlinien, die auf der Grundlage von Echtzeit-Datenverkehrsmustern von Host zu Host angewendet werden können, d. h. auf Netzwerkebene.

In newer versions of Windows, such as Windows 10 and Server 2016, auditing for event 4768 - a Kerberos authentication ticket (TGT) was requested and event 4769 - Kerberos service ticket was requested, and subsequent correlation can point to the beginning of golden or silver ticket attacks. Microsoft has also implemented new protections like Credential Guard, which aims to protect against credential dumping. In the event that a cyber incident occurs, it is important that a cyber incident response strategy is already in place.

Both the application-level and network-level protections should be underpinned by an ‘assume breach’ strategy, so that, overall, active threat hunting supported by analytics, continuous monitoring, and detection is always in force in an automated and structured manner.