Lateral Movement: Kontomanipulation

Kontomanipulation ist eine Technik, die von Angreifern eingesetzt wird, um Zugang zu wichtigen Ressourcen zu erhalten. Bei dieser Technik verschafft sich der Angreifer Zugang zu einem Benutzerkonto, das nicht über ausreichende Berechtigungen für den Zugriff auf die benötigten Ressourcen oder Daten verfügt, und erhöht dessen Berechtigungen.

Nachdem sie sich Zugang zu einem Benutzerkonto verschafft haben, manipulieren die Angreifer das Konto, um zusätzliche Privilegien zu erhalten und bestimmte unerwünschte Aktionen durchzuführen, indem sie die Berechtigungen in der Gruppenrichtlinie ändern, Anmeldeinformationen aktualisieren, um ihre Lebensdauer zu verlängern, und Konto- und Authentifizierungseinstellungen ändern.

Wenn die Angreifer ein Administratorkonto kompromittieren oder die Berechtigungen eines Standardbenutzerkontos erweitern, um administrative Aufgaben durchzuführen, können sie neue Benutzerkonten erstellen. Diesen Benutzerkonten können sie dann eine Reihe von Berechtigungen zuweisen und sie in Zukunft als Hintertür für den Zugang zu Ihrem Netzwerk nutzen.

Wie können Sie Kontomanipulationen in Ihrem Netzwerk erkennen?

Alle Benutzer- und Systemkonten in Ihrem Active Directory und Ihren Cloud-Plattformen müssen ständig überwacht werden, um abweichende Aktivitäten zu erkennen. Stellen Sie sicher, dass Sie auf die folgenden Anomalien in Ihrem Netzwerk achten, um Kontomanipulationen zu erkennen:

• Überwachen Sie die Aktivitäten von privilegierten Benutzerkonten ständig. Wenn das Verhalten eines privilegierten Benutzerkontos plötzlich abweicht, könnte es sich um eine potenzielle Bedrohung handeln.
• Überprüfen Sie Administratorkonten, um festzustellen, ob es eine Aktivitätsspitze gibt. Sie müssen Ihre Umgebung sorgfältig auf die Erstellung und Änderung von Konten und das Zurücksetzen von Kennwörtern überwachen. Im Folgenden finden Sie einige Ereignis-IDs, die Sie genau überwachen können:

Ereignis-ID	Beschreibung
4722	Dieses Ereignis wird für die Verwaltung von Benutzerkonten generiert. Diese Ereignis-ID wird protokolliert, wenn ein Benutzerkonto aktiviert oder deaktiviert wird.
4724	Die Ereignis-ID 4724 gibt an, dass das Passwort eines Kontos zurückgesetzt wurde.
4738	Diese Ereignis-ID gibt an, wenn eine Änderung der Kontoberechtigungen vorgenommen wurde.

• Während diese Ereignis-IDs in einem typischen Netzwerk mehrfach aufgezeichnet werden können, sollten Sie überprüfen, ob diese Ereignis-IDs zu ungewöhnlichen Zeiten erzeugt werden. Sie können auch überprüfen, ob ein nicht genutztes Benutzerkonto plötzlich aktiviert wurde und seine Berechtigungen geändert wurden. Sie können auch auf Passwort-Rücksetzungsversuche für ein beliebiges Benutzerkonto achten (Ereignis-ID 4724 wird mehrfach für dasselbe Konto generiert), um bösartige Aktivitäten in Ihrem Netzwerk zu erkennen.
• Überprüfen Sie Ihre Azure AD-Protokolle, um sicherzustellen, dass kein zweites Kennwort für Server Principals festgelegt wurde, da es für einen Angreifer möglich ist, ein zweites Kennwort für den dauerhaften Zugriff auf diese Plattform festzulegen.
• Überwachen Sie auch Ihre AWS-Protokolle auf Vertrauensstellungen, da die AWS-Konten untereinander Vertrauen aufbauen können, indem sie einfach ein anderes Konto anhand seines Namens identifizieren.

Wie lassen sich Kontomanipulationen abschwächen?

Korrelieren Sie alle Ihre Netzwerkprotokolle, um ausreichende Erkenntnisse darüber zu gewinnen, wie ein Angreifer ein Benutzerkonto kompromittiert, sich seitlich in Ihrem Netzwerk bewegt und privilegierte Benutzerkonten zu seinem Vorteil missbraucht. Identifizieren Sie Benutzer- und Systemkonten, die ein abweichendes und anormales Verhalten aufweisen, indem Sie alle gesammelten Protokolle analysieren.

Sobald solche Konten identifiziert sind, setzen Sie die Kennwörter der gefährdeten Benutzerkonten zurück. Verstärken Sie die Authentifizierungsmechanismen, indem Sie für privilegierte und administrative Benutzerkonten eine Multifaktor-Authentifizierung als bewährte Sicherheitspraxis einsetzen. Es kann schwierig sein, Anomalien im riesigen Stapel der gesammelten Protokolle manuell zu erkennen. Sie können eine SIEM-Lösung (Security Information and Event Management) verwenden, um bösartige Aktivitäten zu erkennen.

Log360 ist eine SIEM-Lösung, die Protokolle von allen Geräten in Ihrem Netzwerk sammeln kann. Sie korreliert Aktivitäten, die in allen Teilen Ihres Netzwerks auftreten, und erstellt intuitive Berichte. Mit Log360 können Sie Echtzeitwarnungen für abweichende Aktivitäten konfigurieren und Sie im Falle einer Bedrohung oder eines Angriffs per SMS und E-Mail benachrichtigen. Mit Log360 können Sie Vorfalls-Workflows als Reaktion auf Bedrohungen konfigurieren, um diese in einem frühen Stadium zu entschärfen.

Informieren Sie sich jetzt über die Möglichkeiten von Log360.