Betrachtung von Angriffsszenarien in Active Directory Umgebungen mit Hilfe von BloodHound, Denise Uerlings

Denise Uerlings

Kurzfassung

Angriffe auf Unternehmen nehmen stetig zu und werden durch frei verfügbare Tools, Exploits im Darknet sowie öffentliche Dokumentation von Schwachstellen immer mehr erleichtert. Um sich ausreichend zu schützen, müssen Unternehmen auch ihr internes Unternehmensnetzwerk ausreichend absichern. Insbesondere zielgerichtete Angriffe, die darauf abzielen, sich möglichst lange unentdeckt im internen Netz auszubreiten, um möglichst hohe Rechte zu erhalten, stellen eine große Gefahr dar. Angreifer, die sich Zugriff zum internen Netz verschaffen, oder auch Innentäter, welche bereits über Zugriff verfügen, können Daten abgreifen, Hintertüren einbauen oder Malware einschleusen und so für einen hohen wirtschaftlichen Schaden sorgen. Da für die zentrale Verwaltung des Netzwerkes häufig Microsofts Verzeichnisdienst Active Directory eingesetzt wird, ist die Absicherung und stetige Überprüfung der Active Directory Umgebung äußerst wichtig. Dazu kann das Enumerationstool BloodHound eingesetzt werden. Es kann sowohl von Administratoren als auch von Angreifern zur Erkennung von Angriffswegen und Sicherheitslücken innerhalb der AD-Umgebung verwendet werden. Ziel der folgenden Arbeit ist es, den Nutzen und die Funktionen von BloodHound innerhalb einer eigens dafür entwickelten AD-Umgebung aufzuzeigen. Dazu wurden verschiedene Angriffswege erarbeitet und in unterschiedlichen Szenarien mit BloodHound enumeriert und ausgenutzt.

Schlagwörter: IT-Sicherheit, Active Directory, BloodHound, SharpHound, AD, Angriffswege

Abstract

Attacks on companies are steadily increasing and are facilitated by freely available tools, exploits on the darknet, and public documentation of vulnerabilities. In order to protect themselves sufficiently, companies must also adequately secure their internal corporate network. Especially targeted attacks that aim to spread undetected in the internal network for as long as possible in order to gain as many rights as possible pose a great danger. Attackers who gain access to the internal network or internal agents who already hold access can tap data, install backdoors, or smuggle in malware and thus cause a great deal of economic damage. Since Microsoft's directory service Active Directory is often used for the central administration of the network, it is extremely important to secure and check the Active Directory environment constantly. The BloodHound enumeration tool can be used for this purpose. It can be utilized by administrators as well as by attackers to detect attack paths and security holes within the AD environment. The goal of the following work is to show the use and functions of BloodHound within a specially developed AD environment. For this purpose, different attack paths were developed and subsequently enumerated and exploited in different scenarios with BloodHound.

Keywords: IT security, Active Directory, BloodHound, SharpHound, AD, attack paths