Startseite > Security > Spürnase für das AD

Testreihe Security-Tools Teil 4 – Bloodhound 4.2

Spürnase für das AD

23. November 2022, 7:00 Uhr | Christoph Lange/wg

Fortsetzung des Artikels von Teil 1

Angriffspunkte erkennen

Ein guter Startpunkt ist die Analyse, welche Benutzerkonten über hochprivilegierte Berechtigungen verfügen und so potenzielle Angriffspfade liefern. Damit lässt sich zum Beispiel ermitteln, ob Standardbenutzern versehentlich zu viele Rechte erhalten haben. In unserem Test-AD erzeugte diese Abfrage eine grafische Ansicht mit zahlreichen Berechtigungspfaden zwischen den AD-Objekten. Markiert der Benutzer einen Pfad, kann er sich per rechter Maustaste ein Hilfefenster mit einer Kurzbeschreibung zur Bedrohung und möglichen Gegenmaßnahmen anzeigen lassen.

Bloodhound stellt mehrere Berichte zu „Kerberoastable Accounts“ bereit, unter anderem ob es Angriffspfade zu Domänenadministrator-Konten gibt. In der Konsole lassen sich zudem gezielte Abfragen ausführen, um die Angriffspfade zwischen ausgewählten AD-Objekten anzuzeigen. Wir gaben als Quell-Node die Domänenbenutzer und als Ziel-Node die Domain Admins an und erhielten daraufhin eine Auflistung unter anderem der zugehörigen Berechtigungsgruppen und Group-Policy-Objekte. Per Drill-Down lassen sich Details zu den jeweiligen Objekten anzeigen. Ein per rechter Maustaste aufrufbares Kontextmenü enthält weitere Analysefunktionen.

Die von Specterops und Quest erhältliche SaaS-Version Bloodhound Enterprise bietet im Vergleich zur kostenfreien Version eine Reihe nützlicher Zusatzfunktion. Ein wichtiges Unterscheidungsmerkmal ist die grafische Darstellung der Berechtigungsbeziehungen: Die Enterprise-Version zeigt die potenziellen Angriffspfade zwischen AD-Objekten in einer hierarchischen Struktur von den Top-Level-Berechtigungen zu den weiter unten angesiedelten Objekten an. So sieht der Administrator schnell, an welcher Stelle er einen Angriffspfad abschnesden muss, um mit einem Schlag möglichst viele Angriffswege zu eliminieren.

Kritische Berechtigungsbeziehungen hebt die Konsole mit einer lila Markierung hervor. Die Explore-Funktion stellt die Details zum ausgewählten Pfad grafisch dar. In der kostenfreien Version ist es umständlicher, diese Informationen herauszufinden. Zudem erhält der Administrator bei der Enterprise-Lösung zu jedem Angriffspfad eine deutlich umfangreichere Beschreibung inklusive Gegenmaßnahmen, wie sich die jeweilige Bedrohung beseitigen oder minimieren lässt.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Ein weiterer Vorteil von Bloodhound Enterprise: Scandaten lassen sich über einen längeren Zeitraum speichen. Dies ermöglicht historische Analysen, die aufzeigen, wie sich die Angriffspfade im Lauf der Zeit verändern. Die Enterprise-Version verfügt zudem über APIs, die eine weitreichende Integration mit anderen Tools ermöglichen. Für Splunk gibt es bereits eine fertige Lösung.

Die SaaS-Lösung wird in der AWS-Cloud gehostet. Im Netzwerk des jeweiligen Unternehmens läuft auf einem oder mehreren Rechnern der Sharphound-Dienst, um die AD-Daten einzusammeln und zum Bloodhound-System in der Cloud zu übertragen. Die meisten AD-Informationen lassen sich mit einem normalen Domänenbenutzer auslesen. Will man auch die lokalen Gruppen und aktiven Sessions erfassen, benötigt der Sharphound-Service-Account auf den überwachten Systemen lokale Administratorenrechte.

Quest bietet zudem eine Kombination von Bloodhound Enterprise mit den Tools Change Auditor und On Demand Audit, um Angriffe auf das AD möglichst frühzeitig zu erkennen. Diese Lösung überwacht kontinuierlich, ob jemand Angriffspfade ausnutzt, und kann den Administrator automatisch alarmieren. Wichtig bei der Nutzung beider Bloodhound-Versionen ist es, den Scan der Angriffspfade regelmäßig zu wiederholen, weil AD-Berechtigungen kein statisches Konstrukt sind, sondern sich in der Regel täglich ändern.

Bloodhound hilft IT-Teams, Schwachstellen in den Tiefen verschachtelter AD-Berechtigungen aufzuspüren. Wer die kostenfreie Version nutzen will, sollte über sehr gute AD-Kenntnisse verfügen, um die Relevanz der grafisch dargestellten Angriffspfade und die empfohlenen Gegenmaßnahmen beurteilen zu können. Die kostenpflichtige SaaS-Version Bloodhound Enterprise stellt das komplexe AD-Berechtigungsgeflecht grafisch übersichtlich als Top-Down-Ansicht dar und zeigt auf, wo man unerwünschte Berechtigungspfade am besten blockieren sollten. Das kommerzielle Tool führt deshalb schneller zum Ziel, im AD vorhandene Angriffspfade aufzuspüren und zu beseitigen.