Täuschung von Angreifern in Active Directory

Bachelor Studiengang IT Security

Patrick Steiner

Betreuer: DI Dr. Martin Pirker, Bakk.

Ausgangslage

Hacking-Angriffe sind eine fortlaufende Bedrohung für Unternehmen, Organisationen und Behörden. Klassische Sicherheitskomponenten zum Schutz gegen Hacking-Angriffe sind unter anderem Antiviren Softwares oder Firewalls. Diese Sicherheitskomponenten verhindern nicht alle Angriffe. Dadurch ist es Angreifer*innen möglich in ein Unternehmensnetzwerk einzudringen. Einmal in ein Unternehmensnetzwerk eingedrungen, können Angreifer detaillierte Informationen über die Computer- und Netzwerkumgebung sammeln. Anschließend ist es möglich mit diesen gewonnenen Informationen weitere Attacken auszuführen. Ein mögliches Ziel für Angriffe ist Active Directory - der Verzeichnisdienst von Microsoft. Eine Software – die Angreifer zum Finden von Angriffspfaden in Active Directory verwenden – ist Bloodhound. Bloodhound visualisiert eine Active Directory Domäne und zeigt Angreifer*innen verschiedenste Angriffspfade.

Ziel

Diese Arbeit untersucht eine Möglichkeit Angreifer*innen, die Bloodhound verwenden, zu täuschen. Dabei werden Angreifer*innen Schwachstellen in der Active Directory Domäne vorgetäuscht. Diese Schwachstellen existieren in Wirklichkeit nicht, sondern stellen Köder (Honeypots) dar. Dadurch werden Angreifer*innen auf eine falsche Fährte geführt. Versucht ein/e Angreifer*in die Schwachstellen auszunutzen, wird diese/r erkannt. Ziel ist, dass ein/e Angreifer*in keine wichtigen Ziele in der Organisation angreift, sondern sich stattdessen auf die vorgetäuschten Schwachstellen fokussiert. Dafür ist es notwendig, dass die vorgetäuschten Schwachstellen möglichst lukrativ erscheinen.

Ergebnis

Diese Arbeit zeigt das Täuschen von Angreifer*innen die Bloodhound verwenden. Die gefälschten Angriffspfade täuschen einem/einer Angreifer*in vor, dass diese/r mit wenig Aufwand den Account eines Domänenadministrators übernehmen kann. Dies ist für Angreifer*innen sehr lukrativ, da Angreifer*innen bei der Übernahme von Accounts von Domänenadministratoren weitgehende Berechtigungen über die Active Directory Domäne erwerben. Diese lukrative, gefälschte Schwachstelle führt eine/n Angreifer*in auf eine falsche Fährte und hält diese/n so davon ab, wichtige Ziele im Unternehmen anzugreifen.