:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
So gefährden LaZagne, BloodHound und Mimikatz das Active Directory Diese Tools nutzen Hacker für AD-Angriffe
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mit den drei Open Source-Tools LaZagne, BloodHound und Mimikatz greifen viele Hacker Netzwerke an – oft mit dem Ziel, die Kontrolle über das Active Directory zu übernehmen. Wir zeigen, auf was Admins in diesem Zusammenhang achten sollen.
Wenn Hacker Netzwerke und Active Directory angreifen, verwenden sie gerne die immergleichen Tools und Vorgehensweisen. In den meisten Fällen „hacken“ Angreifer auch nichts, sondern sie erhalten über verschiedene Wege, zum Beispiel durch Social Engineering, die Anmeldedaten eines Benutzers. Mit denen melden sich die Hacker dann ganz normal an.
Cyberattacken basieren meistens auf dem Diebstahl von Identitäten und Anmeldeinformationen. Hinzu kommt, dass in nahezu allen Organisationen Endgeräte existieren, auf denen Anmeldeinformationen nicht ausreichend geschützt sind, zum Beispiel zwischengespeicherte Anmeldeinformationen für die Remoteeinwahl oder Login-Daten in Webbrowsern. Die recht prominente WannaCry-Ransomware ist zum Beispiel bekannt dafür, RDP-Sitzungen zu kapern. Remotezugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen.
:quality(80)/p7i.vogel.de/wcms/62/64/6264c1c2ad77c046fe4e2aa5a2f2d761/0107147008.jpeg "LaZange kann in der Befehlszeile von Windows und im Linux-Terminal nach Kennwörtern auf PCs suchen, mit denen Hacker wiederum Angriffe auf Netzwerke starten.")
:quality(80)/p7i.vogel.de/wcms/dc/88/dc880c5825cd3bb7c08dd4eaadfcdba8/0107147005.jpeg "Für die Verwendung von Bloodhound kann Neo4J als Basis für den Webserver zum Einsatz kommen. Die Installation dazu ist schnell abgeschlossen.")
:quality(80)/p7i.vogel.de/wcms/e5/b2/e5b296a578e56eef035c550779f427f4/0107146496.jpeg "Nach der erfolgreichen Installation von Neo4j steht der Webserver mit den Anmeldeinformationen „neo4j“ und dem Kennwort „neo4j“ zur Verfügung.")
:quality(80)/p7i.vogel.de/wcms/c0/b2/c0b2674bae86eebb7859d91e13cafd8f/0107146494.jpeg "Bloodhound ist für Angriffe auf Active Directory und Azure optimiert.")
Den Angaben der Identity Defined Security Alliance zufolge haben 79 Prozent der Unternehmen in den letzten zwei Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten erlebt. Und das Ergebnis des omnipräsenten Mangels an Personal und Zeit ist, dass fast 90 Prozent von lokalen Administratoren nicht in PAM-Lösungen (Privileged Access Management) erfasst sind. Das resultiert oft in der Übernahme von solchen Konten durch Angreifer.
Hacker hacken nichts, sie melden sich einfach an
Hacker hacken also meistens nicht, sie melden sich einfach mit ergaunerten Anmeldedaten an. Erst anschließend beginnt die eigentliche Aktivität des Angreifers. Wenn er sich erfolgreich im Netzwerk positioniert hat, versucht er, an weitere Anmeldedaten zu kommen, die er mit Tools wie LaZagne, BloodHound und Mimikatz in lokalen Netzwerken abgreift. Dabei hat er immer Konten mit einer höheren Berechtigungsstufe im Fokus, bis schlussendlich auch Anmeldedaten oder Kerberostickets von Administratoren oder anderen privilegierten Konten in Active Directory vorliegen.
Die bekannte Hackerin Alissa Knight sagt dazu: „Sobald ich in einem Netzwerk eine Lücke gefunden habe, mache ich mich zunächst auf die Suche nach Domänenadministrator-Rechten, indem ich Anmeldeinformationen aus dem Speicher der Systeme auslese. Ich suche so lange, bis ich solche Rechte in einem Netzwerk finde. Und das tue ich immer!“ Privileged Account/Access Management (PAM), Multi-Faktor-Authentifizierung (MFA) und andere Identity und Access-Management-Lösungen (IAM) bieten einen gewissen Schutz, hinterlassen aber haufenweise blinde Flecken, die Angreifer regelmäßig ausnutzen. Mit gestohlenen Anmeldedaten können sich Hacker ohne Probleme im Netzwerk anmelden, oft auch noch über das Internet, und mit den Rechten des Benutzers ihre kriminellen Machenschaften im Netzwerk durchführen. Die Angriffe bleiben oft unentdeckt, bis größerer Schaden entsteht, oder der Angreifer im internen Netzwerk auch noch weitere Identitäten übernehmen kann.
LaZagne findet schnell Kennwörter von Benutzerkonten – kostenlos
Das kostenlose Open Source-Tool LaZagne sucht in Windows, Linux und macOS aktiv nach Kennwörtern von Benutzerkonten im Active Directory und setzt dabei auf Sicherheitslücken im Betriebssystem und in Anwendungen. Findet das Tool ein Kennwort, kann sich ein Angreifer mit dem gekaperten Benutzerkonto ohne Probleme im lokalen Netzwerk anmelden. Das Tool nutzt weit über 70 Sicherheitslücken aus, die es in vielen Netzwerken und den dort betriebenen Anwendungen gibt. Es reicht bereits eine Lücke, um an ein Kennwort zu kommen.
Handelt es sich bei dem gekaperten Konto um ein privilegiertes Benutzerkonto, sind die Schutzfunktionen in den meisten Unternehmen bereits ausgehebelt, bevor irgendjemand etwas von dem Angriff bemerkt. Im Fokus von LaZagne stehen Webbrowser, Chat-Tools, Datenbanken, E-Mail-Clients, Git, Maven, PHP, SVN, viele Admin-Tools, WLAN-Kennwörter, LSA-Secrets und vieles mehr. Eine Liste der Tools ist auf der GitHub-Seite des Projektes zu finden. Die Türen in vielen Netzwerken stehen weit offen und LaZagne nutzt das aus. Hinzu kommt, dass der Umgang mit dem Tool sehr einfach ist.
In Windows erfolgt der Download von LaZagne als *.exe-Datei, die sich direkt ausführen lässt. Natürlich melden Browser und Betriebssystem das Tool als Hackerwerkzeug, sodass der Download erfahrenen Anwender vorbehalten ist. Mit „Lazagne browsers“ sucht das Tool direkt in Browsern nach Kennwörtern, der Befehl „lazagne all“ durchsucht den Rechner komplett.
Bloodhound: optimiert für Angriffe auf Active Directory und Azure
Bloodhound ist ein Tool, mit dem sich vor allem Active-Directory-Umgebungen angreifen lassen. Das Tool versucht, Domänenadmin-Zugänge zu finden und zu übernehmen. Das Tool ist auch ideal für Sicherheitsexperten und Domänenadmins, da sich mit Bloodhound Schwachstellen in der Konfiguration der Berechtigungen und Kennwörter von privilegierten Konten finden lassen. Bloodhound steht auch als Open Source kostenlos auf GitHub zur Verfügung. Das Tool arbeitet unter Linux und Windows.
Die Installation von Bloodhound ist auch in Windows problemlos möglich, allerdings geben viele Virenscanner, auch Microsoft Defender, eine Virenwarnung aus, wenn das Tool auf einem Rechner installiert wird. Für die Installation ist zunächst das Oracle JDK 11 auf dem Rechner notwendig. Danach kann neo4j als Community Server Edition heruntergeladen, extrahiert und in einem Befehlszeilen-Fenster mit Admin-Rechten als Dienst installiert werden. Dazu ist ein Wechsel in das bin-Verzeichnis des extrahierten neo4j-Verzeichnisses notwendig. Hier kann der entsprechende Dienst mit dem folgenden Befehl installiert werden:
neo4j.bat install-serviceNach der erfolgreichen Installation besteht der nächste Schritt darin den Dienst zu starten:
Net start neo4jIm lokalen Webbrowser ist die Webseite von Neo4j über die Adresse http://localhost:7474 zu finden. Zunächst muss für den Benutzer „neo4j“ das Standardkennwort „neo4j“ geändert werden. Hat das funktioniert, erfolgt der Download der GUI von Bloodhound über die GitHub-Webseite. Nach dem Download und dem Extrahieren des Verzeichnisses lässt sich Bloodhound über die Datei „bloodhound.exe“ starten. Die Anmeldung erfolgt mit dem Benutzer „neo4j“ und dem Kennwort, das bei der Installation eingegeben wurde.
Mimikatz kapert Kerberos-Tickets und unverschlüsselte Passwort-Hashes
Mimikatz ist ein Open-Source-Tool um Kerberos-Tickets und unverschlüsselte Passwort-Hashes sowie entschlüsselte Passwörter aus dem Arbeitsspeicher eines Systems auszulesen. Das Tool kann vor allem Dienstkonten angreifen, die über erweiterte Berechtigungen verfügen und nicht so unter Beobachtung stehen wie herkömmliche Konten. Das Tool gehört in Windows sicherlich zu den gefährlichsten Tools, da es schnell ungesicherte Kennwörter aufdecken kann.
:quality(80)/p7i.vogel.de/wcms/87/f8/87f88bec164f78e0e22c9e3dca2db421/0102047170.jpeg)
:quality(80)/p7i.vogel.de/wcms/c8/a1/c8a13338f9b3139c9c316d8a01e5ee2c/0106089557.jpeg)
:quality(80)/p7i.vogel.de/wcms/d6/b1/d6b13471629d8ab4757e5ce5ec163c86/0106089303.jpeg)
:quality(80)/p7i.vogel.de/wcms/9b/3e/9b3e1dbdf8eec58771504f96d4e7c62d/0106089295.jpeg)
(ID:48652856)
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/28/7e28b814cea7d8d0761d3de4fb88ec1c/0110808188.jpeg "Wenn Cyberkriminelle Zugriff auf Benutzerkennungen und Passwörter eines Unternehmensnetzwerks verschaffen, können sie sich meist ungestört im Netzwerk bewegen und Schaden anrichten. (Bild: thodonal - stock.adobe.com)")