Änderung von Gruppenrichtlinien: Eine gängige Technik zur Ausweitung von Privilegien

Gruppenrichtlinien und Gruppenrichtlinienobjekt (GPO)

Gruppenrichtlinien ermöglichen die zentrale Verwaltung von Computer- und Benutzerkonten durch IT-Administratoren. Eine Gruppenrichtlinie ist eine Gruppe von Einstellungen, die auf mehrere Benutzer und Computer angewendet werden können. Ein Gruppenrichtlinienobjekt (GPO) ist eine Zusammenstellung von Richtlinieneinstellungen, sowohl computer- als auch benutzerbezogen, die das Verhalten von Computern bzw. Benutzern in einer Active Directory-Umgebung definieren.

Änderung von Gruppenrichtlinien für die Erweiterung von Berechtigungen (Privilege Escalation)

Eine Privilegienerweiterung liegt vor, wenn sich ein Angreifer unbefugten Zugriff verschafft, indem er Schwachstellen, Fehlkonfigurationen, Bugs usw. ausnutzt, um einen Cyberangriff zu starten. Eine der häufigsten Techniken für einen Angriff zur Privilegienerweiterung ist die Änderung von Gruppenrichtlinien. Die Änderung von Gruppenrichtlinien, die oft als Untertechnik unter der Modifizierung von Domänenrichtlinien eingeordnet wird, beinhaltet die Modifizierung von Gruppenrichtlinienobjekten zur Umgehung der diskretionären Zugriffskontrollen als Mittel zur Privilegienerweiterung. Alle Benutzerkonten sind standardmäßig berechtigt, Gruppenrichtlinienobjekte in einer Domäne zu lesen. Die Zugriffskontrollrechte für GPOs können jedoch bestimmten Benutzern oder Gruppen in einer Domäne zugewiesen werden.

Ein Angreifer kann durch die Änderung von GPOs bösartige Angriffe durchführen. Hier sind ein paar Beispiele:

• Geplanter Task:Die Task-Planungsfunktion kann missbraucht werden, um die Ausführung von bösartigem Code zu initiieren und zu wiederholen.
• Deaktivieren oder Ändern von Tools:Sicherheitstools können gelöscht oder geändert werden, um die Erkennung von potenzieller Malware und bösartigen Aktivitäten zu verhindern.
• Einschleusen von Tools:Tools können von einer externen Quelle übertragen und für bösartige Zwecke verwendet werden.
• Ausführung von Diensten:Befehle können falsch ausgeführt werden, wenn der Dienstkontrollmanager missbraucht wird.

Einige Beispiele für Tools und Angreifergruppen, die mit GPO-Änderungen in Erscheinung getreten sind, sind:

• Egregor:Eine auf Ransomware-Angriffe spezialisierte cyberkriminelle Gruppe, die im Oktober 2020 erfolgreich in den Betrieb des amerikanischen Buchhändlers Barnes & Noble und der Videospielentwickler Crytek und Ubisoft eingedrungen ist.
• Indrike Spider:Eine eCrime-Gruppe, die seit Juli 2014 aktiv ist. Der ausgeklügelte Banking-Trojaner Dridex wurde in den Jahren 2015 und 2016 eingesetzt. Seitdem sind Operationen mit BitPaymer, WastedLocker und Hades Ransomware im Einsatz gewesen.

Identifizierungsverfahren für die Änderung von Gruppenrichtlinien

Änderungen an Gruppenrichtlinien können mithilfe von Ereignisprotokollen des Verzeichnisdiensts überwacht und erkannt werden. Einige Beispiele für Änderungen finden Sie im Folgenden:

• Ereignis-ID 5136:Ein Verzeichnisdienstobjekt wurde geändert
• Ereignis-ID 5137:Ein Verzeichnisdienstobjekt wurde erstellt

Im Allgemeinen können Änderungen an Gruppenrichtlinien mit anderen Verhaltensanomalien einhergehen. In einigen Fällen könnte es sich um eine Instanz einer geplanten Aufgabe handeln. Nach diesen Anomalien kann in Ereignissen gesucht werden, die mit neuen Anmeldeberechtigungen registriert werden.

Verhinderung der Änderung einer Gruppenrichtlinie

Die Änderung von Gruppenrichtlinien kann durch Techniken wie Auditing und Benutzerkontenverwaltung wiederhergestellt werden.

• Durch die Durchführung eines Audits (ID M1047) von Systemen, Software, Konfigurationen usw. kann eine Änderung der Gruppenrichtlinie mithilfe von Tools wie BloodHound identifiziert und wiederhergestellt werden.
• Die gezielte Pflege eines Benutzerkontos in den Bereichen Erstellung, Änderung und Berechtigung verhindert, dass Angreifer GPOs missbrauchen, um die Berechtigungen zu erhöhen.