Archiv der Kategorie: Allgemein

News und Aktuelles: IT-Blog rund um Cyber Security & IT-Sicherheit

Aktuelle News, brisante Neuerungen und Erkenntnisse aus dem Bereich IT-Sicherheit, Wissenswertes rund um Cyber Security: Darüber bloggt für Sie unser Autor Martin Graf. Mit der zunehmenden Digitalisierung und Vernetzung nehmen auch Schnelllebigkeit und Aktualisierungsbedarf stetig zu. Versäumte Updates und veraltete Software bieten Hackern und Cyberkriminellen eine willkommene Angriffsfläche. Die Folgen: Datenverschlüsselung oder -verlust, Geld- und Imageschaden. Ist Ihr Wissensstand jedoch aktuell, so ist es meist automatisch auch Ihre IT-Infrastruktur. Bleiben Sie daher informiert!

Future Risks Report veröffentlicht – Cyberrisiken werden stärker wahrgenommen

Future Risks Report veröffentlicht – Cyberrisiken werden stärker wahrgenommen

Klimawandel, Cyberrisiken und geopolitische Instabilität sind die drei meistgenannten Zukunftsrisiken in Deutschland. Gleichzeitig zeigt die Befragung des AXA Konzerns: Im weltweiten Vergleich fühlt sich die Bevölkerung in Deutschland weniger angreifbar, insbesondere im direkten lokalen sowie sozialen Umfeld. Der Fokus in Deutschland verschiebt sich von unmittelbaren und präsenten Krisensituationen auf entferntere und unvorhersehbare Risikoszenarien. Diese wahrgenommene Sicherheit kann im Kontext zunehmender Cyberangriffe zu Schwierigkeiten führen. Das Management von Sicherheitsvorfällen durch unser Cyber Security Operations Center unterstützt Sie dabei, die Risiken erfolgreicher Cyberattacken zu minimieren. Unser Service prüft Ihre Systeme und sensibilisiert die Mitarbeiter in Fragen rund um das Thema Cyber Security.

Studie befragt weltweite Experten und erstmals auch die Bevölkerung

Der Future Risks Report des AXA Konzerns ermittelt die Wahrnehmung künftiger Risiken in der Bevölkerung. Die Studie wurde bereits zum siebten Mal durchgeführt. Rund 2.700 Experten aus 53 Ländern wurden zu den Risiken befragt. Die Experten kamen aus internen Bereichen der AXA oder sind Partner bzw. Kunden. Alle Experten verfügen über ein fundiertes Grundlagenwissen zu möglichen Risikoszenarien. Die Befragung der Experten fand mittels einer strukturierten Onlineumfrage im Sommer 2020 statt. Erstmals wurden im selben Zeitraum in Zusammenarbeit mit dem Marktforschungsinstitut Ipsos eine bevölkerungsrepräsentative Befragung zu künftigen Risiken durchgeführt. Rund 19.000 Personen aus 15 Ländern beantwortete Fragen zu ihrer Wahrnehmung der künftigen Risiken. Auch diese Befragung fand online statt. Die Ergebnisse geben demnach eine breite öffentliche Meinung wieder.

Technologischer Fortschritt wird begrüßt und Gefahren werden unterschätzt

Ein großer Bereich der Befragung drehte sich um die fortschreitende Digitalisierung und die wahrgenommene Gefahr von Cyberangriffen, welche damit einher geht. 69 Prozent der Personen in Deutschland befürworten den technologischen Fortschritt. Lediglich 31 Prozent der Befragten sehen die Risiken der Digitalisierung als bedeutender an. Demgegenüber stimmen mit 43 Prozent weltweit fast die Hälfte der Befragten der Aussage „technologischer Fortschritt schafft mehr Risiken als Lösungen“ zu.

64 Prozent der Befragten in Deutschland geben an, dass sich die Angreifbarkeit der Bevölkerung im eigenen Land innerhalb der letzten fünf Jahre erhöht hat. Im Vergleich zur weltweiten Befragung sind dies allerdings 12 Prozentpunkte weniger. Im engeren Umfeld in der eigenen Stadt ist der Unterschied ähnlich. Dort geben weltweit 64 Prozent an, dass sich die Gefahr erhöht hat, bei der Bevölkerung in Deutschland sind es 47 Prozent. Dieses Ergebnis wird durch die Aussage unterstützt, dass sich 22 Prozent der Personen in Deutschland im täglichen Leben angreifbar fühlen. Im weltweiten Vergleich sind es doppelt so viele Befragte mit dieser Angabe.

Die Ergebnisse zeigen: Die Gefahr unmittelbarer Angriffe wird als gering eingeschätzt. Dies kann im persönlichen Umfeld, gerade beim Thema Cybersecurity, zu einer Sicherheit führen, die im Zuge steigernder Hackerangriffe nicht gerechtfertigt ist. Das Management und Monitoring von Cyberangriffen und die damit einhergehende Relevanz für das Unternahmen kann in diesem Fall unterschätzt werden.

Gefahren der voranschreitenden Digitalisierung

Durch die Corona-Pandemie ist das Homeoffice-Aufkommen stark angestiegen. Darüber hinaus nutzen zahlreiche Arbeitnehmer private Endgeräte für dienstliche Zwecke. Dadurch steigen auch potenzielle Angriffsflächen für Cyberattacken und Phishing-Mails und die Gefahr erfolgreicher Cyberangriffe wird erhöht. Gerade bei einer instabilen IT-Infrastruktur. Mit gravierenden Folgen für die Unternehmen. Eine Schadsoftware verbleibt häufig monatelang unentdeckt im System, bis die ersten Auswirkungen auffallen. Die Konsequenzen einer solchen Cyberattacke sind für Unternehmen schwerwiegend und langfristig. Dazu gehören u.a. finanzielle Nachteile, eine Schädigung der Reputation und Datenverluste.

Das CSOC für alle Fragen rund um die IT-Sicherheit

Sie möchten Ihr Unternehmen vor Angriffen bewahren und Ihre digitalen Daten schützen? Das Cyber Security Operations Center (CSOC) der dhpg unterstützt Sie bei der Abwehr solcher Angriffe und leitet Gegenmaßnahmen ein. Das CSOC ist ein Security Information and Event Management System (SIEM) und übernimmt das aktive Monitoring und Analyse aller integrierten Systeme, erkennt IT-Schwachstellen, alarmiert bei Bedrohungen und berichtet unverzüglich an die IT-Verantwortlichen. Ein CSOC lässt sich innerhalb weniger Stunden an das IT-System anschließen und greift nicht in die IT-Struktur ein. Mithilfe des IT-Sicherheitschecks des CSOC im Security Operations Center in Bornheim prüfen unsere Experten für Cybersicherheit Ihre IT-Infrastruktur, Netzwerke und Webanwendungen auf „Herz und Nieren“. Das Team besteht aus Cybersicherheitsexperten und nutzt Methoden sowie Techniken, die einem echten Hackerangriff ähneln.

Der Penetrationstest erkennt die Schwachstellen im System

Bei unserem Penetrationstest simuliert unser Team den Versuch des Zugriffs auf die IT-Systeme und des Netzwerks Ihres Unternehmens. Damit stellt unser IT-Sicherheitscheck eine Art Härtetest für Ihre IT-Sicherheit im Unternehmen dar, sodass übersehene oder nicht erkannte Risiken und Schwachstellen behoben werden können. Sie erhalten eine professionelle Prüfung und Bewertung Ihrer IT. Die Analyse steht Ihnen in Form eines Berichts zur Verfügung. Auf diese Weise gewinnen Sie entweder die Gewissheit, dass Ihre IT-Systeme einem Hackerangriff standhalten kann oder dass Sie auf Basis von Handlungsempfehlungen bestehende Risiken und Schwachstellen schließen sollten.

Bewusstsein für Cyber Security erhöhen

Der Future Risks Report zeigt, dass das persönliche Bewusstsein für IT-Sicherheit und eine nötige eigene Sensibilisierung vor Angriffen im digitalen Bereich gering ausfällt. Diese Ergebnisse lassen sich auch auf Unternehmen beziehen. Investitionen in eine ausreichende IT-Sicherheit werden häufig vernachlässigt, obwohl der Bedarf danach kontinuierlich steigt. Zudem muss die bestehende Belegschaft auf die Veränderungen vorbereitet und geschult werden. Bei der Implementierung von technischen Lösungen werden klassische Personalentwicklungsmaßnahmen (Sensibilisierung, Schulungen) oftmals vernachlässigt. Irrtum, Nachlässigkeit oder Unwissenheit der Mitarbeiter gelten heute als Hauptursache für Schadensfälle mit der IT. Dabei sollten Mitarbeiter über die Gefahren im Umgang mit der IT regelmäßig geschult werden. Unsere dhpg Schulungen unterstützen bei der Umsetzung der Personalentwicklungsmaßnehmen und schaffen ein Sicherheitsbewusstsein Ihrer Mitarbeiter, sodass potenzielle Gefahren erkannt und Schäden verhindert werden können. Ihre Mitarbeiter lernen die aktuellen Bedrohungen im Netz kennen, können darauf reagieren und Gefahren außerdem im ersten Schritt besser vermeiden.

Kontaktieren Sie uns gerne. Wir beraten Sie gerne persönlich und individuell zu den vielfältigen Möglichkeiten des Schutzes Ihrer IT. Der Umfang richtet sich nach dem jeweiligen Gefährdungspotenzial.

Immer mehr Institutionen, so auch das Bundesamt für Sicherheit in der Informationstechnik, empfehlen ein Security Information and Event Management System als „Stand der Technik in der IT-Sicherheit“. Das Cyber Security Operations Center der dhpg und die AXA kooperieren in diesem Feld.

Weitere Informationen zur Studie und die Ergebnisse des Future Risks Reports der AXA finden Sie hier.

dhpg und TÜV TRUST IT gründen Joint Venture

dhpg und TÜV TRUST IT gründen Joint Venture

Eine gezielte Bündelung von Kompetenzen für mehr Cybersicherheit in mittelständischen Unternehmen

Köln, 16.03.2021. Der Name des neugegründeten Joint Ventures zwischen der dhpg IT-Services GmbH (dhpg) und der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA (TÜV TRUST IT) lautet Certified Security Operations Center GmbH. Ziel der Kooperation soll es sein, durch zukunftsorientierte Lösungen und stetige Weiterentwicklung Marktführer im Bereich der Security Operations Center (SOC) zu werden.

Als Kerndienstleistung bietet das Joint Venture eine vollumfängliche Überwachung der IT-Systeme angeschlossener Kunden durch das Certified Security Operations Center (CSOC), welches der GmbH seinen Namen verlieh. Das Operations Center ermöglicht eine Rund-um-die-Uhr Überwachung der IT und umfasst zudem die individuelle Auswertung relevanter Vorkommnisse sowie die Einleitung entsprechender Gegenmaßnahmen. Hierbei stellt ein hochspezialisiertes Team aus Fachleuten stets den maximalen Nutzen des Operations Centers für alle angeschlossenen Kunden sicher.

Mit wegweisenden Services zum Marktführer

Bereits im Jahr 2018 fand das Operations Center seinen Ursprung bei der dhpg, die hiermit auf die zunehmende Relevanz von IT-Systemprüfungen reagierte und insbesondere mittelständischen Kunden fortan eine kontinuierliche Überwachung gegen Hackerangriffe bot.

Mit der TÜV TRUST IT und der dhpg IT-Services verbinden sich nun zwei starke Partner zu einem Joint Venture, deren Leistungsportfolios im Sinne der gemeinsamen Kunden perfekt zusammenpassen. Markus Müller, Geschäftsführer der dhpg IT-Services über die Ziele der Zusammenarbeit: „Wir wollen uns als Certified Security Operations Center GmbH mit zukunftsorientierten Lösungen am Markt etablieren. Die TÜV TRUST IT, als unabhängiger Anbieter für Informationssicherheit, stellt dabei den optimalen Partner an unserer Seite dar, der unsere Kompetenz im Umgang mit vertraulichen und schützenswerten Daten sehr gut ergänzt“.

Die Kunden des Operations Centers kommen aus allen Branchen und Größenordnungen, wobei derzeit ein Schwerpunkt im Mittelstandsbereich liegt. Entsprechend der Marktanforderungen wird das Leistungs- und Serviceportfolio ständig weiterentwickelt; So entstehen gerade zusätzliche Services im Bereich der industriellen (OT) Security. „Wir legen großen Wert auf einen stetigen Ausbau unseres Angebots und eine kundenorientierte Weiterentwicklung. Der Austausch von Wissen und Erfahrungen zwischen uns und der dhpg ist dabei ein wichtiger Faktor und Grundstein einer erfolgreichen Zusammenarbeit im Sinne unserer Kunden. Das Ziel ist klar: Wir wollen uns stetig an alle Veränderungen anpassen und die Leistungen des Operations Centers an aktuellen Anforderungen ausrichten, so dass wir künftig die Benchmark unter den deutschen Security Operations Center bilden“, so Detlev Henze, Geschäftsführer der TÜV TRUST IT.

Als zentraler Service-Point dient der Certified Security Operations Center GmbH ein neuer, hochmodern ausgestatteter Standort im rheinischen Bornheim, wo bereits die Joint Venture Partner dhpg IT-Services und TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA an diversen Service-Ausweitungen arbeiten.

 

 

Update: IT-SiG 2.0 fordert System zur Angriffserkennung für kritische Infrastrukturen

Update: IT-SiG 2.0 fordert System zur Angriffserkennung für kritische Infrastrukturen – SOCaaS hierfür bestens geeignet

#bsi #IT-SiG #kritis 

Bereits im Juni hatten wir darauf hingewiesen, dass es einen neuen Referentenentwurf des IT-SiG 2.0 gibt, durch den es für einige Unternehmen zur Pflicht werden könnte, ein System zur Angriffserkennung einzuführen. Nunmehr wurde der Gesetzesentwurf durch den Bundestag beschlossen. Wir möchten Ihnen daher wesentliche Punkte des Gesetzes aufzeigen.

Das neue IT-Sicherheitsgesetz (IT-SiG 2.0)

Nach langem Warten wird das neue IT-Sicherheitsgesetz (IT-SiG 2.0) nun doch bald in Kraft treten. Der Bundestag hat am 16.12.2020 den Referentenentwurf beschlossen. Damit steht fest: Das IT-SiG 2.0 verschärft die Anforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält neue Kompetenzen und vergrößert sich um 799 Planstellen. Verstöße gegen das neue Gesetz können mit Bußgeldern bis zu 2 Mio. € geahndet werden. Inhaltlich verfolgt das Gesetz einen ganzheitlichen Ansatz für die Informationstechnik inklusive Verbraucherschutz. Die IT-Sicherheit von Produkten wird durch ein „freiwilliges IT-Sicherheitskennzeichen“ verdeutlicht und „Unternehmen im besonderen öffentlichen Interesse“ können Verpflichtungen zum Melden von Cyber-Angriffen und anderweitigen IT-Störungen unterliegen.

Für die kritische Infrastrukturen (KRITIS) wird ausdrücklich ein System zur Angriffserkennung gefordert. Bislang ergab sich diese Vorgabe nur implizit aus dem Erfordernis zur Etablierung eines Informationssicherheits-Management-Systems (ISMS), z.B. entsprechend der ISO/IEC 27001 bzw. dem Branchenstandard B3S. Hinzu kommt, dass sich die Anforderungen an das System zur Angriffserkennung erhöhen, da das BSI hierzu konkrete Vorgaben macht.

SOCaaS – geeignetes System zur Angriffserkennung

Mit dem SOCaaS kann die dhpg ein leistungsstarkes System zur Angriffserkennung anbieten. Bereits jetzt greifen kritische Infrastrukturen wie Krankenhäuser und Energieversorger auf dieses zurück. Künftig ist dies vor allem für Abfallentsorger von Interesse, die nach dem IT-SiG 2.0 als kritische Infrastruktur einzustufen sind.

Speziell für die Bereiche Detect & Respond haben wir mit unserem SOCaaS eine elementare Leistungskomponente geschaffen und etabliert, bei der Sie die Überwachung und sicherheitsspezifische Betreuung zuvor vereinbarter Systemkomponenten komfortabel an uns abgeben können. Unsere IT-Sicherheitsexperten analysieren auftretende Anomalien und verdächtiges Verhalten umgehend, damit entsprechende Gegenmaßnahmen eingeleitet werden, was neben den Schutz- auch Erkennungsmaßnahmen auch die Reaktionsfähigkeit deutlich verbessert.

Leistungsangebot des SOCaaS

Mit unserem SOCaaS können folgende Eventkanäle genutzt werden:

  • NIDS (Network Intrusion Detection System) zur Überwachung des gesamten Netzwerkdatenverkehrs
  • Log-Daten aus vorhandenen Schutzsystemen wie Firewall-, VPN- und Endpoint-Lösungen
  • Client/Server-Eventdaten (Windows, Linux …)
  • Log-Daten aus weiteren Fremdsystemen wie z.B. Zutrittskontroll-, Einbruchmelde-, Brandmelde- und Videoüberwachungssystemen
  • Microsoft Security Services (ATP, Office365, Cloud Security und APP Security)
  • Netflow-Daten von Cloud Services

Weitere Stärken: Konzentrator, ISA und SOCaaS-V-Scan

Durch die offene Schnittstellenstruktur des SOC-Sensors kann dieser ab sofort unkompliziert als „Konzentrator“ für die Anbindung an bereits vorhandene SIEM-Systeme genutzt werden.

Ein weiteres Plus ist die Weiterentwicklung unserer künstlichen Intelligenz „ISA“ (Intelligent Security Analysis), die die Analysten in der Leitstelle bei der Bewertung der eingehenden Events durch ein selbstlernendes Scoring- und Analyse-Verfahren unterstützt.

Um das Leistungsspektrum abzurunden, übernimmt unser neues Modul „SOC-V-Scan“ die aktive Schwachstellensuche in Ihrem Netzwerk. SOC-V-Scan meldet bekannte Schwachstellen und Fehlkonfigurationen in Ihrer Infrastruktur vollautomatisch. SOC-V-Scan unterstützt Ihre IT-Abteilung somit bei der sicheren Konfiguration und beim Patch-Management.

Durch die Leistungsmerkmale des SOCaaS sind wir in der Lage, Ihre vorhandenen Clients/Server, Log-Daten und Schutzsysteme zentralisiert und aktiv zu überwachen. Eine Kollaboration und Visualisierung Ihrer Eventdaten ermöglicht es Ihnen, schnell einen Überblick über Ihre Infrastruktur zu bekommen.

Die anfallenden Analysen übernimmt unser Analystenteam für Sie, was Ihre IT-Abteilung im Bereich Cyber Security maßgeblich entlastet.

Fazit

Weitere Informationen finden Sie hier.

BSI: Die Lage der IT-Sicherheit in Deutschland 2020

BSI: Die Lage der IT-Sicherheit in Deutschland 2020

#bsi #homeoffice #kritis #emotet #covid19 #malware

Zu den größten Cyberbedrohungen im Zeitraum zwischen dem 1. Juni 2019 und dem 31. Mai 2020 zählten laut Lagebericht des BSI Angriffe durch Ransomware, die sich gegen „Unternehmen, Behörden und andere Institutionen sowie [] Privatanwender“ richteten. Auch Banking-Trojaner Emotet schaffte es wie schon im vorausgehenden Jahresbericht des BSI erneut an die Spitze gefährlicher Schadprogramme; diese verzeichneten teilweise einen „überdurchschnittlich“ hohen Zuwachs von knapp 470.000 Varianten pro Tag.

Hinzu kamen in diesem Jahr Corona-bedingt auftretende Sicherheitslücken, die der Umzug ins Homeoffice bedingte. Der spontane Umzug an den Heimarbeitsplatz entbehrte häufig eines soliden Sicherheitskonzeptes und barg neue Angriffsflächen. Zudem nutzten Hacker vor dem Hintergrund der Pandemie komplex angelegte Phishing-Kampagnen oder den CEO-Fraud, indem sie mit den Unsicherheiten der Menschen spielten.

Auch die Angriffe auf Betreiber kritischer Infrastrukturen (KRITIS), also Dienstleister im Bereich medizinischer Versorgung, Strom, Wasser etc., haben zugenommen: Waren es im Jahr 2018 noch 145, wurden zuletzt 419 Meldungen verzeichnet. Schätzungen zufolge kursieren zudem rund 24,3 Millionen Patientendatensätze im Netz.

Die Gefahrenlage hat sich daher drastisch verschärft und verlangt volle Aufmerksamkeit seitens Politik, Behörden, Unternehmen wie Privatpersonen.

Windows im Visier: Der Zerologon-Angriff

Windows im Visier: Der Zerologon-Angriff

Der Angriff durch Zerologon nutzt eine Schwachstelle des Netlogon Remote Protokolls (NRPC) bei der Client- und Server-Domainauthentifizierung. Diese erfolgt mittels einer modifizierten AES-Verschlüsselung.

Der Prozess für den Aufbau einer Netlogon-Session geschieht in den folgenden Schritten:

      1. Sowohl der Client als auch der Server berechnen und erzeugen einen 8-stelligen zufällig generierten Schlüssel, eine sogenannte Challenge.
      2.  Beide Challenges werden zwischen Client und Server ausgetauscht, daraus generieren Client und Server jeweils einen Sessionschlüssel. Hierfür werden beide Challenges mit dem shared-secret kombiniert, anschließend mittels Schlüsselableitung der Sessionschlüssel erzeugt.
      3. Der Client nutzt den Sessionschlüssel, um einen client credential zu berechnen.
      4. Der Server berechnet den gleichen credential-Wert erneut und vergleicht diese. Sofern beide credentials übereinstimmen, ist die Vertrauenswürdigkeit gewährleistet.

Während des Handshakes wird ausgehandelt, ob der nachfolgende Datenverkehr verschlüsselt wird.

Um den client credential zu berechnen wird eine protokoll-spezifizierte Funktion namens ComputeNetlogonCredential genutzt. Diese Funktion nimmt einen 8-Byte großen Input entgegen und führt eine Transformation mit dem shared-secret aus. Es entsteht ein gleich großer Output.

Es bestehen zwei Versionen dieser Funktion, von denen die eine auf 2DE (gilt als unsicher) und die andere auf AES basiert (als sicher geltend).

Die AES-Variante wird bei der Authentifizierung verwendet, enthält jedoch die Schwachstelle, die Zerologon ein Einfallstor bietet.

Weiterhin verschlüsselt AES mittels CFB8 (8-Bit cipher Feedback) jedes Byte des Klartextes, sodass ein 16 Byte großer Initialisierungvektor (IV) dem Klartext vorangestellt wird. Dann werden auf die ersten 16 Bytes des IVs+Klartext AES angewandt.

Die Schwachstelle entsteht, weil der IV fix ist und immer 16 Nullbytes hat. Das spricht gegen die AES-CFB8 Sicherheitsvorschrift, die besagt, dass der IV Wert zufällig generiert sein muss.

Der Angreifer kann den Klartext des Passwortes auf 8 Nullen setzen. Hierbei ergibt sich eine Besonderheit: In einem von 256 Fällen, in denen die ersten 8-Bytes Nullen enthalten und mittels AES-CFB8 verschlüsselt werden, entsteht ein Produkt, das lediglich aus Nullen besteht. Dieser genullte Ciphertext ermöglicht also in einem von 256 Fällen eine erfolgreiche Authentifizierung.

Es werden der Netlogon Protocol Passwortstruktur entsprechend 516-Bytes, die aus Nullen bestehen, an den Server übertragen. Hierdurch lässt sich das Passwort für jeden Computer in der Domain auf 0 stellen und somit auf diese zuzugreifen.

Auf diese Weise geschieht die Änderung im Active Directory (AD), d.h das Zielsystem behält sein ursprüngliches lokales Passwort.

Wie wirkt sich das auf den Windows Administrator aus?

Der betroffene Computer kann sich nicht mehr im AD authentifizieren und nur manuell erneut synchronisiert werden, was in einer Denial of Service Attacke (DDoS) resultiert. Dennoch hat der Hacker Privilegien innerhalb der Domain.

Dem Angreifer ist es mittels öffentlich verfügbaren Tools möglich, alle NTLM-Hashes (inklusive Domainadmin Hashes) von Benutzern in der Domain zu extrahieren. Demzufolge kann er sich damit am Domain Controller (DC) authentifizieren und diesen übernehmen. Der Angreifer hat jetzt volle Kontrolle über die Domäne. Potenzielle Konsequenzen sind nicht einzugrenzen.

Wer ist von dieser Schwachstelle betroffen?

Betroffen sind Windows Server, die seit August 2020 nicht mehr gepatcht wurden.

Proof of Concept

Für die beschriebene Schwachstelle haben wir innerhalb unserer Red-Team-Testumgebung ein Testszenario erstellt. Wir konnten den im Testszenario erzeugten Datenverkehr untersuchen und die gewonnen Erkenntnisse in die SOC-Erkennungsalgorithmen integrieren.

Im nächsten Schritt wurde in der Testumgebung mit dem Skript https://github.com/zer010bs/zeroscan/blob/master/zerologon_tester-mod.py eine gefälschte Authentifizierung durchgeführt. Durch eine erfolgreiche Authentifizierung im AD konnten wir die Systempasswörter innerhalb dieser Domäne ändern.

Die entsprechenden Hashes konnten wir mit dem secretdump-Skript extrahieren und im AD der Domäne das Domänenpasswort ändern, das sich im lokalen Register des DCs befand.

Nach Abschluss des Testszenarios wurden die durch das SOC erlangten Informationen verifiziert und es konnte eine mehrfache Detektion bestätigt werden.