zurück zum Artikel

Auf seiner SO-CON zeigte SpecterOps viele Aktualisierungen für Security-Werkzeuge, darunter BloodHound 4.0 für Active-Directory-Angriffe.

Auf der ersten virtuellen SO-CON gab Veranstalter SpecterOps in vielen verschiedenen Vorträgen Einblicke in das Handwerkszeug und die Denkweisen professioneller Red und Blue Teams. Auch wenn der Name SpecterOps in Deutschland eventuell weniger geläufig ist, so sind die Open-Source-Werkzeuge, des Unternehmens umso bekannter. Dazu zählen die Projekte PowerShell Empire, BloodHound, PowerSploit und GhostPack.

Im Rahmen des Vortrags "Six Degrees of Global Admin" stellte Andy Robbins BloodHound 4.0 vor. Halfen die älteren Versionen des Werkzeugs noch, klassische Active-Directory-Umgebungen zu analysieren und mögliche Angriffspfade per Graphentheorie darzustellen, kann die neue Version nun auch Microsoft Azure untersuchen. Hierzu sammelt der neue Ingestor namens AzureHound die Daten aus dem Azure Active Directory und dem Azure Resource Manager. Diese importiert das Tool über die BloodHound GUI in eine Neo4j-Graphendatenbank.

Active Directory lokal oder in der Cloud angreifen

Insbesondere bei hybriden Infrastrukturen – klassisches Active Directory und Azure AD im parallelen Einsatz – oder für VMs bei Azure, ist es sinnvoll, die Daten aus beiden Verzeichnisdiensten in eine Datenbank und damit in einen Graphen zu laden. Die Software kann auf diese Weise eventuell zusätzliche Angriffspfade abbilden, die zuvor nicht erkennbar waren. Beispielsweise könnte ein aus dem lokalen Active Directory in das Azure AD synchronisierter Benutzer erweiterte Rechte auf eine VM besitzen, die eine Kompromittierung der lokalen Domäne erlauben, oder über eine Verschachtelung von Gruppenmitgliedschaften ließe sich der globale Administrator im Azure AD kompromittieren.

Um die Daten aus der Azure-Infrastruktur extrahieren und abbilden zu können, erhält der BloodHound-Graph zehn neue Knoten: Tenants, Azure Users, Azure Security Groups, Apps, Service Principals, Subscriptions, Resource Groups, Virtual Machines, Devices und Key Vaults. Hinzu kommen 14 neue Kanten, die die jeweils möglichen Angriffe darstellen.

Wie schon beim klassischen, lokalen Active Directory reichen die Rechte eines gewöhnlichen Azure-AD-Benutzers zur Abfrage fast sämtlicher benötigter Informationen aus. Lediglich die Subscriptions lassen sich so per Standardeinstellung nicht abfragen. Zum Sammeln der Daten benötigt der AzureHound laut SpecterOps auch in großen Umgebungen mit 240.000 Benutzern knapp zwei Stunden.

Seatbelt statt der PowerShell

mimikatz-Befehl schnell erkannt

Der Talk „Buckle It Up (Or Shells Die!)” beschäftigte sich ausführlich mit dem Thema „Host-Based Situational Awareness”. Hierbei handelt es sich um die erste Tätigkeit, die ein Red Team durchführen sollte, nachdem es den ersten Windows-Computer eines Kunden kompromittiert hat – wenn es nach den beiden Sprechern geht. Will Schroeder und Lee Christensen wiesen darauf hin, dass sie bei amateurhaften Angreifern oder auch bei neuen, unerfahrenen Mitarbeitern im eigenen Team beobachten, dass sie als erstes den mimikatz-Befehl sekurlsa::logonPasswords ausführen. Mit den bei sicherheitsaffinen Kunden vermehrt eingesetzten Erkennungstools, von Blue Teams überwachten Eventlogs oder EDR-Software (Endpoint-Detection-and-Response), steigert dies deutlich die Gefahr, erkannt zu werden.

Je nach Ziel des Red Teams ist dies nicht erwünscht – wer unerkannt bleiben will, sollte eher die Strategie „Low and slow“ wählen und auf „Smash and grab“ verzichten. Hierbei sollte man sich zunächst auf dem lokalen System umschauen, um zum Beispiel herauszufinden, wie das System konfiguriert ist, ob ältere sowie ungeschützte Schnittstellen – zum Beispiel PowerShell in Version 2 und .NET in Version 3.5 – vorhanden sind, über welche Security-Programme der Client verfügt oder ob Sicherheits-Events in einem zentralen Log landen.

Lange Zeit galt die PowerShell für Angreifer als das Werkzeug der Wahl für die Post-Exploitation-Phase. Mittlerweile überwachen die IT, das Blue Team oder ein SOC sie streng und schränkt ihren Gebrauch gegebenenfalls ein. Alternativ empfehlen Schroeder und Christensen ihr Werkzeug Seatbelt. Dabei handelt es sich um ein in C# geschriebenes Programm mit inzwischen über 100 Kommandos. Viele davon benötigten keine lokalen Administratorenrechte, ferner können einige aus der Ferne ausgeführt werden, um zum Beispiel den Zustand benachbarter Rechnern im kompromittierten Netzwerk abzufragen.

Auf Basis der so gewonnenen Informationen kann der Angreifer seine nächsten Schritte besser planen und sein Vorgehen an die Umgebung anpassen, um sich möglichst unerkannt in der IT-Infrastruktur fortzubewegen. Ferner kann Seatbelt Zugangsdaten auf dem kompromittierten System finden, beispielsweise in Logs oder in den Benutzerverzeichnissen, in denen diese unter Umständen der Browser speichert. Des Weiteren gibt das Werkzeug auch Hinweise darauf, ob und wie ein Angreifer seine lokalen Berechtigungen erweitern kann, falls nach der initialen Kompromittierung nur eingeschränkte Rechte zur Verfügung stehen.

Vorsicht beim JA3-Fingerprinting

Max Harley ging in seinem Vortrag „Offensive JA3“ darauf ein, dass die normalerweise eher von Verteidigern eingesetzte Technik des JA3-Fingerprintings auch von der anderen Seite genutzt werden kann – zum Beispiel, um Command-and-Control-Verkehr besser zu verstecken oder den Zugriff auf die von den Angreifern genutzten Schadprogramme zu erschweren. Durchs Analysieren der TLS-Handshakes in der eigenen Netzwerkinfrastruktur kann das Blue Team gegebenenfalls Rückschlüsse auf die involvierten Softwarekomponenten ziehen und so herausfinden, ob es sich um einen Chrome- oder Firefox-Browser oder doch um Metasploit handelt. Wenn das Blue Team diese Erkennungstechnik einsetzt, kann der Angreifer durch gezieltes Anpassen des JA3-Fingerprints den Verkehr seiner Metasploit-Verbindung besser tarnen.

Ferner lässt sich der JA3-Fingerprint fürs Payload Keying verwenden. Zum Beispiel soll bei einem Phishing-Angriff ausschließlich das Opfer die tatsächliche Payload erhalten. Wenn stattdessen ein Mitglied des Blue Teams oder ein Mail-Gateway zur Prüfung auf letztere zugreift, würden diese zum Beispiel eine Fehlermeldung oder eine unbedenkliche Datei ausgeliefert bekommen.

Ein Überblick zu Vorträgen und Ankündigungen findet sich auf der Veranstaltungsseite [1].

[2]

(fo [3])

URL dieses Artikels:
https://www.heise.de/-4973049

Links in diesem Artikel:
[1] https://specterops.io/so-con2020
[2] https://www.heise.de/ix/
[3] mailto:fo@heise.de

Copyright © 2020 Heise Medien