Explorando el Directorio Activo (AD): Bootcamp de ataques en RootedCON 2025

Aktives Verzeichnis (AD) erkunden: Bootcamp für Angriffe auf der RootedCON 2025

17. Februar 2025 Celia Catalán

Das Active Directory (AD) ist ein Schlüsselelement in der Infrastruktur zahlreicher Organisationen, das die Authentifizierung, Autorisierung und Sicherheitsrichtlinien in Windows-Umgebungen verwaltet. Aufgrund seiner Relevanz ist es zu einem Hauptziel für Angreifer geworden, die versuchen, Unternehmenssysteme zu kompromittieren. Um dieses Problem anzugehen, haben Alex Amorín und Axel Losantos das Bootcamp für Angriffe auf das Active Directory entworfen, eine intensive Schulung, die Theorie und Praxis kombiniert, um Fachleute in der Identifizierung und Minderung von Schwachstellen im AD auszubilden.

Über die Ausbilder

Alex Amorín ist der Verantwortliche für Pentesting und Red Team bei Zerolynx. Er ist Informatikingenieur an der Universität Burgos und hat einen Master in IT-Sicherheit von der Europäischen Universität. Seine berufliche Laufbahn wird durch hochangesehene Zertifizierungen im Bereich der offensiven Sicherheit unterstützt, darunter OSCP, OSWP, OSWE, OSEP, OSED, CRTO, CRTL und OSCE3. Darüber hinaus hat er erheblich zum Bereich der Cybersicherheit beigetragen, mit über 25 veröffentlichten CVE (Common Vulnerabilities and Exposures), was sein Engagement für die Forschung und Aufklärung über Schwachstellen belegt.

Axel Losantos ist Pentester und Red Team Operator mit über fünf Jahren Erfahrung in der Cybersicherheit. Er hat an internationalen Projekten in Sektoren wie dem Bankwesen, der Pharmaindustrie, der Versicherungswirtschaft und der öffentlichen Verwaltung teilgenommen. Er ist Techniker für die Entwicklung von Multiplattform-Anwendungen, hat einen Abschluss in Informatik und einen Master in Cybersicherheit von der UNIR. Axel verfügt über herausragende Zertifizierungen in offensiver Sicherheit, wie OSCP, OSEP, OSWE, CRTO, CRTL, CRTP, CRTE, CARTP, CARTE, ARTE, eCPPTv2 und CHMRTS, was sein Engagement für kontinuierliches Lernen und Spezialisierung in fortgeschrittenen Angriffs- und Verteidigungstechniken widerspiegelt.

Inhalt des Bootcamps

Das Bootcamp für Angriffe auf das Active Directory ist darauf ausgelegt, ein tiefes und praktisches Verständnis dafür zu vermitteln, wie man AD-Umgebungen auditiert und ausnutzt. Im Laufe mehrerer Sitzungen werden die Teilnehmer von grundlegenden Konzepten bis hin zu fortgeschrittenen Angriffs- und Verteidigungstechniken erkunden. Im Folgenden sind die wichtigsten Schwerpunktbereiche aufgeführt:

1. Einführung und Einrichtung der Umgebung

Session 0: Vorbereitung der Laborumgebung, um sicherzustellen, dass alle Teilnehmer über die notwendigen Werkzeuge und Konfigurationen für die Praktiken verfügen.

2. Grundlagen von Active Directory und Erkennung

Sitzung 1: Es werden die wesentlichen Konzepte von AD behandelt, einschließlich seiner logischen und physischen Struktur sowie der Schlüsselprotokolle wie LDAP. Darüber hinaus wird die "Kill Chain" im Kontext von AD eingeführt, wobei die Phasen hervorgehoben werden, die ein Angreifer durchläuft, um das System zu kompromittieren.

3. Aufzählung von Active Directory

Session 2: Verwendung von PowerShell und LDAP-Abfragen zur Extraktion kritischer Informationen über Benutzer, Gruppen und Domänenkonfigurationen.

Sitzung 3: Implementierung von fortgeschrittenen Werkzeugen wie BloodHound und SharpHound zur Kartierung von Vertrauensbeziehungen und möglichen Wegen zur Eskalation von Rechten. Ergänzt durch manuelle Enumerationsmethoden und die Verwendung nativer Windows-Tools.

4. Ausnutzung von Schwachstellen in AD

Session 4: Analyse und Ausnutzung bekannter Schwachstellen in AD-Umgebungen, wie Kerberoasting, ASREP-Roasting, ZeroLogon und andere. Es wird betont, wie diese Schwachstellen genutzt werden können, um unbefugten Zugriff zu erlangen und Privilegien zu eskalieren.

5. Missbrauch von unsicheren Konfigurationen

Session 5: Identifizierung und Ausnutzung von Fehlkonfigurationen, wie übermäßige Berechtigungen in ACLs, falsche Implementierung von LAPS und gMSA sowie schlecht konfigurierte Delegierungen.

6. Fortgeschrittene Angriffs- und Persistenztechniken

Session 6: Erforschung fortgeschrittener Angriffe, einschließlich solcher, die auf die Zertifikatsinfrastruktur (ADCS) abzielen, sowie Persistenztechniken wie die Modifikation von GPOs und die Erstellung versteckter Konten mit erhöhten Rechten.

Ziele des Bootcamps

Am Ende des Bootcamps werden die Teilnehmer in der Lage sein, um:

Identifizieren und Erkunden von Schwachstellen: Unsichere Konfigurationen und Schwachstellen in AD-Umgebungen erkennen.

Techniken der Ausnutzung implementieren: Methoden anwenden, um Systeme kontrolliert zu kompromittieren und Privilegien zu eskalieren.

Seitliche Bewegungen durchführen: Sich im Netzwerk bewegen, um auf zusätzliche Ressourcen zuzugreifen und die Reichweite des Engagements zu erweitern.

Persistenz herstellen: Techniken implementieren, die den Zugriff auf das kompromittierte System über einen längeren Zeitraum aufrechterhalten.

Die Sicherheit von AD stärken: Gegenmaßnahmen und bewährte Praktiken anwenden, um die AD-Umgebung vor möglichen Angriffen zu schützen.

An wen richtet es sich?

Dieses Bootcamp ist dafür ausgelegt:

Cybersecurity-Profis: Diejenigen, die ihr Wissen über spezifische Angriffe und Verteidigungen von AD vertiefen möchten.

Systemadministratoren: Personal, das für die Verwaltung und Sicherheit von Windows-Umgebungen zuständig ist und die möglichen Bedrohungen sowie deren Minderung verstehen möchte.

Sicherheitsanalysten und -auditoren: Fachleute, die für die Bewertung der Sicherheit von Infrastrukturen und die Gewährleistung der Einhaltung von Sicherheitsrichtlinien verantwortlich sind.