Hacker erklärt: im Schatten des Domain Controllers – DCSync & DCShadow

Hacker erklärt: im Schatten des Domain Controllers – DCSync & DCShadow
In diesem Webinar wird Ihnen gezeigt, welche Tools und Wege es gibt, um einen Domain Controller für Angriffe zu simulieren und wie Manipulationen in der Domäne mittels der populären Angriffe DCShadow und DCSync möglich sind. Schließlich wird gezeigt, wie die vorgestellten Attacken entdeckt und abgewendet werden können.

Warum handelt es sich bei diesen Attacken?

DCShadow ist ein Verfahren zur Manipulation von Active Directory(AD)-Daten, einschließlich Objekten und Schemata, durch Registrierung oder Wiederverwendung einer inaktiven Registrierung und Simulation des Verhaltens eines Domain Controllers (DC). Nach der Registrierung kann ein böswilliger DC Änderungen in die AD-Infrastruktur einschleusen oder Domänenobjekte, inklusive der Anmeldeinformationen lokal replizieren.

Bei der zweiten Attacke namens DCSync ist es mittels Directory Replication Service (DRS) möglich, an Passwort-Hashes aus der NTDS.DIT-Datei, in welcher die Domänenbenutzer verwaltet werden, zu gelangen. Diese Technik lässt sich mit den Rechten eines Domänenadministrators von jedem System in der Domäne ausführen. Somit muss ein Angreifer sich nicht am DC selbst anmelden, um an diese sensitiven Daten zu gelangen.