DC Shadow - Angriff
-
Thomas Koscheck
Einleitung
DC Shadow ist eine fortgeschrittene Post-Exploitation-Technik, die 2018 von Benjamin Delpy und Vincent Le Toux entwickelt und auf der Black Hat Conference vorgestellt wurde. Die Angriffstechnik ist als Feature im lsadump-Modul des Open-Source-Tools Mimikatz implementiert und trägt die MITRE ATT&CK ID T1207.
Bei diesem Angriff schleusen Cyberkriminelle einen gefälschten Domaincontroller in Ihre Active Directory-Umgebung ein.
Der Angreifer nutzt dabei die normalen Kommunikationswege zwischen Domain Controllern aus, wodurch seine schädlichen Änderungen wie legitime Systemupdates aussehen. Einmal erfolgreich durchgeführt, kann der Angreifer dauerhaft privilegierte Zugänge schaffen, sich unbemerkt in der Domäne bewegen und kritische Systeme kompromittieren.
Die gute Nachricht: Für einen DC Shadow Angriff benötigt der Angreifer bereits Domain-Administrator-Rechte.
Details zum Vorgehen
Der Angriff simuliert das Verhalten eines legitimen Domaincontrollers durch Missbrauch des Microsoft Directory Replication Service Remote (MS-DRSR) Protokolls. Dabei werden insgesamt drei Schritte ausgeführt:
- Registrierung des Rogue-DCs: Der Angreifer erstellt zwei neue Objekte in der CN=Configuration-Partition des Active Directory und modifiziert den Service Principal Name (SPN) des kompromittierten Computers. Dabei werden SPNs wie „GC/“ (Global Catalog) oder „E3514235-4B06-11D1-AB04-00C04FC2DCD2/“ (DRS Service) gesetzt.
- Datenmanipulation: Über DRS-Calls wie DrsReplicaAdd wird die schädliche Payload an legitime Domain Controller übertragen. Da diese Kommunikation dem normalen Replikationsprozess entspricht, wird sie nicht als verdächtig eingestuft.
- Spurenbeseitigung: Nach erfolgreicher Replikation werden die temporären DC-Objekte wieder entfernt, um die Angriffsspuren zu verwischen.
Angriffspotenzial
DC Shadow ermöglicht Angreifern weitreichende Manipulationen, wie z. B.:
- Modifikation der SID History für Cross-Domain-Privilegienausweitung
- Änderung von Passwort-Hashes ohne Kenntnis des Klartext-Passworts
- Manipulation von Gruppenmitgliedschaften (z. B. Hinzufügung zur Domain Admins-Gruppe)
- Erstellung von Golden/Silver Tickets durch KRBTGT-Kompromittierung
- Bypass von AdminSDHolder-Schutzmaßnahmen
Voraussetzungen für den Angriff
- Domain Administrator oder Enterprise Administrator Berechtigungen
- Physischer oder Remote-Zugriff auf ein Domain-joined System
- Möglichkeit zur Installation und Ausführung von Mimikatz
- Ausreichende Netzwerkkonnektivität für DRS-Kommunikation
Präventive Maßnahmen
- Privilegienverwaltung implementieren, wie z.B.
- Tier- / Planemodell
- PIM
- Just-in-Time (JIT) Adminzugänge
- Regelmäßige Überprüfung und Reduzierung von Domain Admin-Mitgliedschaften (PoLP)
- Active Directory Härtung
- Entfernung ungenutzter Computer-Objekte und Sites
- Beschränkung der Berechtigung zum Hinzufügen von Computer-Objekten
- Implementierung von Fine-Grained Password Policies für privilegierte Konten
Monitoring
Ein DC-Shadow Angriff kann bspw. über die Überwachung von SPN-Änderungen erkannt werden. Ein dauerhaft laufendes PowerShell-Skript dazu könnte wie folgt aussehen.
# PowerShell Script zur SPN-Anomalie-Erkennung
$DCs = Get-ADDomainController -Filter *
$ComputerObjects = Get-ADComputer -Filter * -Properties ServicePrincipalName
foreach ($Computer in $ComputerObjects) {
if ($Computer.ServicePrincipalName -match "GC/" -or
$Computer.ServicePrincipalName -match "E3514235-4B06-11D1-AB04-00C04FC2DCD2") {
$IsDC = $DCs | Where-Object {$_.ComputerObjectDN -eq $Computer.DistinguishedName}
if (-not $IsDC) {
Write-Warning "Potential Rogue DC detected: $($Computer.Name)"
}
}
}