Dieses Video gehört zur Serie „Anatomie eines Hacks“. Es geht primär um die Seitwärtsbewegung eines Angreifers von einem bereits kompromittiertem System auf ein anderes. Dies wird auch als Lateral Movement bezeichnet.
In meinem LAB öffnet ein Benutzer, der auf einem Windows Server 2016 angemeldet ist, auf einen Link einer Internet-Webseite. Dabei wird eine Command & Control Session zu meinem externen Server gestartet. Jetzt kann ich als Angreifer im Sicherheitskontext des Benutzers versteckt agieren. Das Ziel meiner Simulation ist das Erstellen einer DNS-Wildcard in einem DNS-Server, der auf einem modernen Active Directory Domain Controller läuft – mit den Standardberechtigungen des Benutzers! Wenn mir das gelingt, dann kann ich eine Vielzahl von Angriffsszenarien starten – in meinem LAB lenke ich einen anderen Benutzer auf eine vorbereitete Webseite und stehle seine Anmeldeinformationen…
Alles klar? Dann geht weiter mit der Übersicht.
Und wer mag, kann sich hier eine mögliche Gegenmaßnahme ansehen – natürlich mit Video und PowerShell-Script!
Stay tuned!