Bloodhound-Ökosystem: Ergänzende Werkzeuge und Erweiterungen für Verteidiger

Inhaltsverzeichnis

Seit seiner Veröffentlichung 2016 ist BloodHound eines der beliebtesten Werkzeuge für White-Hat- und Black-Hat-Hacker (und alle Nuancen dazwischen), die ein Active Directory (AD) näher untersuchen wollen. Die Darstellung der Angriffspfade als Graphen war seinerzeit ein Novum und ist auch heute noch das wichtigste Anwendungsmerkmal – auch wenn inzwischen andere Open-Source-Projekte wie Adalanche Ähnliches leisten. Früher mussten sich Angreifer mühsam durch Listen klicken und dort nach Verbindungen zwischen Objekten und Systemen suchen. Heute reicht meist ein Blick, um einen lohnenden Angriffsvektor zu identifizieren und im zweiten Schritt auszunutzen.

Seit August 2023 gibt es neben der originalen Version von BloodHound (Download via GitHub), inzwischen als BloodHound Legacy bezeichnet, auch die BloodHound Community Edition (CE) (Download via GitHub). Sie unterscheidet sich in Betrieb und Funktionsumfang erheblich von der Originalversion. Auch sind nicht alle in diesem Artikel vorgestellten Erweiterungen kompatibel mit der Community Edition.

iX-tract

• BloodHound, das Werkzeug zur Angriffspfadanalyse, ist für jedes Red Team unverzichtbar geworden. Obwohl das Tool schon sehr leistungsfähig ist, erreicht es sein volles Potenzial erst durch die Integration einer Vielzahl von Erweiterungen.
• Verteidiger und Angreifer profitieren von den Add-ons, die eine aktive Gemeinschaft entwickelt. Dadurch kann der Bluthund fast jeden Anwendungsfall abdecken.
• Je nach Erweiterung werden die Daten in einem Netzwerk auf unterschiedliche Weise gesammelt, bereits vorhandene Daten neu aufbereitet oder durch weitere Informationen einer Domäne angereichert, beispielsweise um Passwort-Hashes.

Grundsätzlich besteht BloodHound aus drei Komponenten: einem Datensammler (dem Collector SharpHound), der in der jeweiligen Domäne ausgeführt wird und relevante Daten über Windows-API- und LDAP-Funktionen sammelt, einer Graphdatenbank (Neo4j), in die diese Daten in der Folge geladen werden, und schließlich der BloodHound-Benutzeroberfläche, in der sie betrachtet werden. Wir haben an anderer Stelle das Installieren, die Begrifflichkeiten und die Basisfunktionen der Komponenten erklärt. Der Blogartikel "The Ultimate Guide for BloodHound Community Edition (BHCE)" von Chris Haller beschreibt zudem die BloodHound Community Edition in aller Tiefe.

Das war die Leseprobe unseres heise-Plus-Artikels "Bloodhound-Ökosystem: Ergänzende Werkzeuge und Erweiterungen für Verteidiger". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.