Automated Active Directory Testing – Crating a framework for automated internal Assessments

Master Studiengang Information Security

Matteo Tomaselli, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Wer hätte Ahnen können welche Herausforderungen das Jahr 2020 durch den Ausbruch von Covid-19 mit sich bringt. Dies betrifft im speziellen auch Unternehmen, welche vor der Herausforderung stehen Ihren Betrieb am Laufen zu halten. Um dies zu bewerkstelligen müssen Lösungen geschaffen werden die es den Mitarbeiterinnen sowie Mitarbeitern erlaubt auch von Zuhause aus Ihre Arbeit zu verrichten. Die Bereitstellung von VPN Lösungen sowie anderen Werkzeugen die den Zugriff auf das interne Netzwerk von Unternehmen ermöglichen führt auch zur Vergrößerung der Angriffsfläche. Umso wichtiger ist es einen sogenannten „Assume-Breach“ Ansatz zu verfolgen, welcher sicherstellt, dass der angerichtete Schaden im Falle eines Durchbruches im Perimeter, möglichst gering ausfällt. Während Sicherheit an vielen Stellen eine Rolle spielt, trifft dies jedoch besonders auf die Kernkomponenten eines Unternehmens zu. Diese Arbeit fokussiert daher die Evaluierung der Sicherheit von Microsofts Active Directory durch automatisierte Angriffe.

Ziel

Das Ziel der Arbeit ist die Entwicklung eines Frameworks welches Unternehmen helfen soll Ihre Infrastruktur auf verbreitete Angriffsvektoren zu untersuchen basierend auf der Cyber-Kill-Chain. Neben der Identifizierung von Schwachstellen bzw. Angriffspfaden im internen Netzwerk, liegt hauptsächlich die automatische Ausnutzung dieser im Fokus der Arbeit.

Ergebnis

m Verlaufe der Arbeit wurde eine Analyse von verbreiteten Taktiken, Techniken sowie Prozeduren erstellt die von Angreiferinnen sowie Angreifern genutzt werden, um Privilegien zu eskalieren. Aufbauend auf diesen Analysen wurden ausgewählte Techniken sowie Prozeduren als Module des Frameworks implementiert. Für die Evaluierung des Frameworks sowie der implementierten Module wurde eine fiktive Active Directory Umgebung aufgesetzt. Schlussendlich konnte nachgewiesen werden, dass der Einsatz des Frameworks einen Mehrwert an Sicherheit durch die automatisierte Ausnutzung von Schwachstellen bringt.