Artikel top billede

(Foto: Dan Jensen)

Sådan forsvarer du dig mod Active Directory angreb, der ikke efterlader spor

Klumme: It-kriminelle finder hele tiden på nye måder at tiltvinge sig adgang til identitetsstyringssystemet Active Directory.  Når vi nu ved, at det stort set er umuligt at sætte et 100 procent sikkert sikkerhedsværn op, så er evnen til at opdage og stoppe et angreb så hurtigt som muligt blevet altafgørende. Men hvad gør man ved de angreb, der ikke efterlader sig spor og derfor ikke umiddelbart kan opdages?

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Et af de vigtigste elementer i enhver it-sikkerhedsstrategi er detektion.

Det er afgørende hurtigt at kunne opdage, når it-kriminelle trænger ind i ens system, se hvordan de bevæger sig rundt eller - endnu værre - administrerer dit netværk.

Når Microsoft melder ud, at it-kriminelle i gennemsnit er inde i et netværk i 146 dage før de bliver opdaget, så er det indlysende, at skurkene er pænt gode til at arbejde i smug.

Når det drejer sig om at opdage potentielt ondsindede handlinger i Active Directory (AD), er de fleste organisationer afhængige af konsolidering af domænecontroller-begivenhedslogfiler og SIEM-løsninger for at kunne opdage anormale log-ins- og ændringer.

Alt dette virker, men kun så længe angrebsteknikken efterlader et spor.

Desværre har vi spottet en række angreb, der ikke efterlader synlige spor eller hvor det er uklart at det er en ondsindet aktivitet. Nogle af disse er:

  • DCShadow-angreb: Ved hjælp af DCShadow-funktionen i hackerværktøjet Mimikatz går dette angreb først og fremmest ud på at registrere en uautoriseret domænecontroller (DC) ved at ændre konfigurationspartitionen i AD.

    Herefter kan de it-kriminelle foretage en række ændringer, så som at ændre gruppemedlemsskab for domæneadministratorer.

  • Ændringer i gruppepolitik: Et dokumenteret angreb med Ryuk-ransomware resulterede i ændringer i et gruppepolitik-objekt, som installerede Ryuk på en række endpoints i virksomheden.

    Som udgangspunkt indeholder hændelseslogfiler ikke detaljer om, hvad der ændres i en gruppepolitik. Så hvis en it-kriminel foretager en ondsindet ændring (som i Ryuk), kan man kun se, at en konto med adgang til gruppepolitikken har foretaget en ændring, hvilket sandsynligvis ikke vil udløse nogen alarm.

  • Zero-log-on-angreb: Efter at en proof-of-concept-exploit-kode blev offentliggjort, kunne en it-kriminel med netværksadgang til en domænecontroller sende særlige Netlogon-meddelelser bestående af strenge af nuller.

    Det tvang domænecontrollerens adgangskode til at blive ændret til en tom streng.

    Uden nogen form for log-on til domænecontrolleren kunne it-kriminelle foretage alle mulige ændringer i AD og herved få fri adgang til andre systemer i infrastrukturen.

    De færreste overvågningsværktøjer holder i dag øje med uventede ændringer af passwords til domaincontrollere.

Det er ikke tilfældigt, at disse angreb ikke efterlader spor - de er designet sådan.

De it-kriminelle bruger en masse tid på at undersøge deres mål, og de leder efter måder at omgå eller sløre enhver form for registrering - herunder logning.

Spørgsmålet er hvad man så gør ved det, både proaktivt og reaktivt?

Der er tre måder at beskytte din organisation mod ondsindede AD-ændringer på:

1. Overvåg Active Directory for ondsindede ændringer

Du har brug for en løsning, der kan se alle ændringer, der foretages i AD - uanset hvem der foretager dem, på hvilken DC, ved hjælp af hvilken løsning osv.

Overvågningen skal også omfatte ændringer i gruppepolitikker.

I mange tilfælde kan løsninger, der er designet til at overvåge ændringer i AD, definere specifikke beskyttede objekter, der skal overvåges for enhver ændring, for eksempel ændringer i medlemskab af domæneadministratorer, så alarmer udløses, hver gang disse beskyttede objekter ændres.

Løsningen bør dække både ændringer i gruppepolitikker og synliggøre replikering.

2. Kig efter DCShadow

Mimikatz efterlader sig faktisk nogle tegn på at DCShadow er blevet brugt på dit netværk.

Jævnlig gennemgang af AD-sikkerheden er vigtig.

Finder du spor af Mimikatz DCShadow i dit miljø, så skal der handles hurtigt, da I allerede er under angreb.

Dernæst har du brug for en løsning, der kan vise hvilke ændringer, der blev udført på replikeringsniveau, som du derefter kan analysere og ideelt set annullere.

3. Sikre, at Active Directory kan genoprettes

Din organisation har brug for en proaktiv mulighed for at genoprette alle dele af et AD, hvis du konstaterer, at det er blevet kompromitteret.

I nogle tilfælde kan du tænke i backups og en data recovery-strategi, der kan gendanne AD under et cyberangreb.

Hvis du rent faktisk har brug for at genoprette hele AD-tjenesten, f.eks. efter et malwareangreb, så skal du være opmærksom på, at en god domænecontrollerbackup ikke er lig med en problemfri og hurtig genopretning af AD-tjenesten.

Du skal øve hele genoprettelsesprocessen med jævne mellemrum ved at følge den omfattende Microsoft AD Forest Recovery Guide.

Men det er lige så værdifuldt at implementere en løsning, der kan tilbageføre ændringer ned til attributniveauet eller endda automatisk tilbageføre ændringer for at beskytte objekter, når ændringerne opdages.

At angribe identitetsstyringssystemet Active Directory og ændre på det, er en helt almindelig taktik blandt it-kriminelle.

Organisationer, der tager deres it-sikkerhed alvorligt og går op i at sikre integriteten af deres AD, skal sørge for at de kan se alle ændringer i deres AD og tage kontrollen tilbage, så de kan genoprette eller gendanne hurtigt og sikkert.

Vi bruger megen tid på at tale om alle de nye måder, de it-kriminelle arbejder på, men i virkeligheden er de it-kriminelle ikke på jagt efter nye måder at angribe på.

De vil bare gerne ind og Active Directory er og bliver højhastighedsmotorvejen, der fører lige lukt ind i hjertet af en organisation.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.