Start Empfohlen Drei Tipps für Penetrationstests, um Hacker zu überlisten

Drei Tipps für Penetrationstests, um Hacker zu überlisten

57
0


Hacker-Silhouette

Es sollte nicht überraschen, dass Hacker in letzter Zeit beschäftigt waren. Laut meiner Quelle zu Hacking-Statistiken, dem Identify Theft Resource Center, sind die Sicherheitsverletzungen sprunghaft angestiegen von 780 im Jahr 2015 auf 1.093 im Jahr 2016. Gibt es eine Möglichkeit, einen proaktiven Ansatz für die Datensicherheit zu verfolgen, ohne in weitere Firewalls oder Virenschutzsoftware zu investieren, um letztendlich an die eigentliche Quelle der Schwachstellen zu gelangen?

Ja und ja. Die Antwort lautet Penetration Testing, kurz Pen Testing. Es ist ein White-Hat-Ansatz, der Unternehmen herausfordert, die Schwachstellen in ihren eigenen Systemen aufzudecken, indem sie verstehen, wie ein Cyberkrimineller ihre internen Informationen ausnutzen könnte.

Kurzum: Um Hacker zu besiegen, muss man wie einer denken. Effektiv testen Sie Ihr IT-System mit denselben Tools und Techniken, die Hacker verwenden. In einem typischen Unternehmen haben jedoch viele in der IT-Abteilung zunächst Angst vor der Praxis, weil sie denken, dass sie ihr System zum Einsturz bringen könnte.

Das ist nicht der Fall!

In Wirklichkeit ist der Stifttest eine clevere Methode, um passiv Informationssammlung, und in der Microsoft Windows-Serverdomäne bedeutet dies die Nutzung von Active Directory. Active Directory wird nicht oft als Pen-Testing-Tool angesehen und enthält tatsächlich unglaublich nützliche Informationen, die Hacker im Laufe der Jahre ausgenutzt haben.

Bis vor kurzem bestand das Problem für Pen-Tester darin, die Techniken der Hacker zu duplizieren, um Benutzer- und Gruppenmetadaten aus Active Directory zu ziehen und zu analysieren. Aber dank PowerShell und PowerView, das Cmdlets für den Zugriff auf AD-Metadaten bereitstellt, verfügen Stifttester jetzt über ein effektives Toolkit.

Es gibt einige Schlüssel zur Verbesserung der Sicherheit Ihres AD-basierten Systems. Für Organisationen, die beginnen möchten, sind die folgenden drei Ideen für Stifttests, die ich für effektiv befunden habe:

  1. Sieh dich um

Um den Überblick zu behalten, sollten Stifttester eine Vielzahl von Programmen nutzen, die Netzwerke, Server und Ordner untersuchen. Programme wie nessus oder crackmapexec, das „Schweizer Taschenmesser für Stifttests“, kann IT-Administratoren dabei helfen, ein Netzwerk zu durchsuchen, Login- und Passwortinformationen zu testen und Befehle aus der Ferne auszuführen.

Ein nettes Feature von crackmapexec ist, dass es über einen PowerView-Parameter verfügt, mit dem Stifttester PV-Cmdlets direkt übergeben können. Mit anderen Worten, Sie müssen PowerView nicht herunterladen Module und die Umgebung einrichten. Dieses leistungsstarke Tool bietet Ihnen also sofortige PowerView-Funktionen, um AD- und andere Systeminformationen zu untersuchen. Mehr erfahren Hier.

  1. Denke wie ein Hacker

Sobald ein Pen-Tester ein Gefühl für die Lage des Landes hat, ist es an der Zeit, wie ein Hacker zu denken – zu entscheiden, welche Ordner wertvolle Informationen enthalten und welche Benutzeranmeldeinformationen Zugriff auf die Daten in dem Ordner ermöglichen.

Ein Stifttester könnte beispielsweise eine Datei entdecken, die zu einer Active Directory-Gruppe mit der Bezeichnung „VIPs“ oder „Rechtsabteilung“ gehört. Es besteht die Möglichkeit, dass diese Gruppen Zugriff auf Dateien und Informationen haben, die einem Hacker Zugang zu sensiblen Informationen über die Finanzen oder Verträge des Unternehmens verschaffen könnten.

Was aber, wenn Sie als Pentester nicht über die entsprechenden Zugriffsrechte verfügen?

Hier kommt die Verwendung von Pass-the-Hash (PtH) ins Spiel.

Die Idee ist, dass Sie warten, bis sich ein Benutzer der entsprechenden Gruppe – in diesem Fall VIPs oder die Rechtsabteilung – am Server anmeldet. PowerView hat ein nettes Cmdlet, Get-NetUser, das den Trick macht – alle AD-Metadaten zu einem Benutzer anzeigen, einschließlich Gruppenmitgliedschaften. Nachdem Sie den richtigen Benutzer gefunden haben, speichern Sie heimlich die internen Windows-Authentifizierungsschlüssel und verwenden sie wieder – indem Sie den Authentifizierungsschlüssel oder den „Hash“ übergeben. Um mehr über PtH zu erfahren und die Zugangsdaten von Benutzern zu stehlen, ohne deren Passwörter zu kennen, lesen Sie dieses großartige SANS Artikel zum Thema.

Übrigens, crackmapexec hat integrierte PtH-Funktionen, die es wirklich zu einer mehrgleisigen Stifttest-App machen!

Die Lehren aus dieser Art von Pen-Testing-Übungen sind, dass die IT sorgfältig prüfen sollte, wer sensible Dateidaten sehen kann, und die Mitgliedschaft in AD-Gruppen auf diejenigen beschränken, die sie wirklich benötigen. Durch den Schutz der Konten von VIPs, CEOs oder anderen Power-Usern und Abschottung derjenigen, die das Recht haben, ihre Informationen zu sehen, kann eine IT-Abteilung es Hackern viel schwerer machen, an die Extras zu kommen. Beim Pen-Test geht es wirklich darum, Wege zu empfehlen, um Risiken so weit wie möglich zu reduzieren.

  1. Derivat-Admin

In großen Organisationen ist es nicht ungewöhnlich, lokale Administratorrechte an spezielle AD-Gruppen auf Domänenebene zu delegieren. Auf diese Weise können Sie steuern, wer in der IT über Administratorrechte auf Workstations und Servern verfügt. Noch wichtiger ist, dass das Problem vermieden wird, dass IT-Mitarbeiter auf Domänenadministratorrechte angewiesen sind, um auf den Computern normaler Benutzer zu arbeiten. Das ist ein No-Go, denn ihre Zugangsdaten können mit PtH gestohlen werden und Hacker hätten dann die Schlüssel zum Königreich!

Es gibt jedoch ein interessantes Problem, das aus zu vielen lokalen Administratorgruppen resultieren kann. Und es ist etwas, bei dem Pen-Tester helfen können. Der eigentliche Verdienst für das Aufzeigen der Schwachstelle „Derivative Admin“ gehört zu Justin Warner, Andy Robbins und Will Schröder. Die Details sind für diesen kurzen Artikel etwas zu kompliziert, aber durch die Verwendung von PowerView und anderem PowerShell-Code ist es für Pen-Tester möglich, Wege zu finden, seitlich mehr oder von einem Server oder Laptop zum anderen zu springen. Effektiv kann ein lokaler Admin-Benutzer auf einem Computer genutzt werden, um Zugriff auf andere Computer zu erhalten, für die er normalerweise gesperrt wäre. Immer noch neugierig auf diese Details? Mehr erfahren Hier.

Derivative Admin ist eine sehr coole und subtile Idee, aber genau das tun Pen-Tester: Erfinden Sie nicht offensichtliche Möglichkeiten, einen Hack zu simulieren, bevor es die echten Hacker tun.

Es dreht sich alles um Metadaten

Die Quintessenz für Pen-Tests ist, dass meiner Meinung nach alles auf Metadaten ankommt. Die obigen Ideen beinhalten das passive Crawlen durch ein Netzwerk, um herauszufinden, welche Arten von Metadaten die Verbindungen bereitstellen, die ein Hacker benötigen würde, um eine Organisation zu infiltrieren (und dann zu zerstören).

Das Ziel für die IT sollte dann sein, ihre Active Directory-Benutzer und -Gruppen so zu konfigurieren, dass sie stark reduziert das Risiko, dass Hacker Zugangsdaten erlangen. Wenn Unternehmen immer komplexer werden, verliert man leicht den Überblick, wer zu welcher Gruppe gehört und welche Privilegien sie verdienen.

Aber wenn sie die richtigen Tools verwenden und wissen, welche Befehle diese sensiblen Informationen aufdecken, werden Unternehmen feststellen, dass sich Pen-Tests und andere Techniken zur Risikobewertung und -reduzierung als mächtiger erweisen werden als jedes Hackerschwert.

Bildnachweis: BeeBright/Shutterstock

andy-grün-varonis (1)Andy Green ist der Herausgeber der Varonis Inside Out Sicherheitsblog. Varonis ist ein Anbieter von Data Governance- und Sicherheitslösungen. Andy ist ein erfahrener Technologiejournalist mit über 12 Jahren Erfahrung im Schreiben über Hightech-Themen für B2B-Publikationen, Marktforschungsunternehmen und führende Softwareunternehmen. Bei Varonis konzentriert er sich darauf, Verbindungen zwischen Datensicherheit, Compliance und realer IT herzustellen. In seiner begrenzten Freizeit behandelt Andy skurrile Startups und andere Tech-Themen für das von ihm gegründete Technoverse Blog (TvB).



Vorheriger ArtikelMicrosoft übernimmt SyntaxTree – verstärkt Fokus auf Gaming
Nächster ArtikelÜberallokation tötet Cloud-Einsparungen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein