Suchen

Domain-Controller bleiben unberührt Active-Directory-Angreifer auf Irrwegen

| Autor / Redakteur: Bernhard Lück / Dipl.-Ing. (FH) Andreas Donner

ADSecure geht mit Täuschungsmanövern gegen den Missbrauch von Active-Directory-Informationen vor. Angreifer, die etwa auf der Suche nach Informationen über Domain-Admins oder Domain-Controller sind, werden laut Hersteller Attivo Networks in eine virtuelle Umgebung voller Fallen geführt.

ADSecure führt Angreifer in die virtuelle Attivo Networks Deception Fabric und zu gefälschten AD-Informationen.
ADSecure führt Angreifer in die virtuelle Attivo Networks Deception Fabric und zu gefälschten AD-Informationen.
(Bild: Attivo Networks)

ADSecure werde aktiv, sobald ein Angreifer über einen kompromittierten Endpoint eine illegitime Query in Microsoft Active Directory (AD) startet. Die Anfrage werde zunächst ganz regulär an den AD-Server geleitet und dort ordnungsgemäß verarbeitet. Die Antwort, die vom AD-Server an den Endpoint zurückkommt, werde jedoch von ADSecure modifiziert; der Angreifer ende in der virtuellen Attivo Networks Deception Fabric.

Dort erhalte der Angreifer, der nach Informationen über privilegierte Domänenkonten, Systeme und andere hochwertige Objekte sucht, gefälschte Active-Directory-Ergebnisse, die die automatisierten Tools eines Angreifers unwirksam machen. Jegliche Angriffsversuche in dieser Köderumgebung liefen so in eine virtuelle Umgebung bestehend aus Fallen.

Indem Angreifer in die Täuschungsumgebung geleitet würden, könne die ThreatDefend-Plattform von Attivo Networks den Angriff genau untersuchen, um Taktiken, Techniken und Verfahren zu eruieren und unternehmensspezifische Bedrohungsinformationen für eine beschleunigte Reaktion zu sammeln.

Die Besonderheit bei der Verwendung von ADSecure sei, dass das Active Directory nicht modifiziert werden müsse und die produktiven Domain-Controller durch die Implementierung von ADSecure nicht gestört würden. Auch ein AD-Admin müsse bei der Einrichtung von ADSecure nicht aktiv werden.

Fokus auf verkürzte Dwell-Time

Der in ADSecure implementierte Ansatz zur Bedrohungserkennung konzentriere sich insbesondere darauf, die so genannte Dwell-Time – die Zeitspanne, in der sich ein Cyberangreifer in einer Netzwerkumgebung bis zu seiner Entdeckung und Eliminierung bewegen kann – zu reduzieren. Hierfür würden sowohl auf Netzwerk- als auch auf Endpoint-Ebene Köder ausgelegt, etwa in Applikationen oder in Dateien. Die Zeitspanne, in der ein Unternehmen maliziösen Aktivitäten ausgesetzt sei, werde verkürzt, da man weder von einem Signatur- noch von einem Datenbankabgleich abhängig sei.

Live-Angriffserkennung

ADSecure fange Angriffe in Echtzeit ab und biete so eine proaktive Verteidigung gegen die unautorisierte Sammlung von AD-Informationen. Dabei könne ADSecure Methoden antizipieren, die ein Angreifer möglicherweise verwenden wird, um über einen infizierten Endpoint in das Unternehmensnetzwerk einzubrechen.

(ID:46401278)