Pass-the-Ticket Incidents – was tun bei Defender for Identity Alert?
Microsoft Defender for Identity erkennt, vereinfacht gesagt, Angriffe auf lokale Active Directory Identitäten. Dabei werden Sensoren auf den Domänen-Controllern und weiteren AD-Diensten installiert und an die Defender-Umgebung im Rahmen von Microsoft 365 angebunden. Was aber ist zu tun, wenn wirklich ein Sicherheitsvorfall erkannt wird? Wir zeigen ein aktuelles Beispiel aus unserer Praxis und geben Tipps zu den wichtigsten Maßnahmen und Analyseschritten.
Microsoft Defender for Identity Alert Story – Ursache der Pass-the-Ticket Incidents
Am 19.09.2023 sind am Nachmittag vermehrt Pass-the-Ticket Incidents aufgetreten. Bei dieser Art von Vorfall versucht ein Angreifer auf einem System ein bestehendes Kerberos Ticket zu extrahieren und auf einem weiteren System zur Anmeldung zu verwenden. In diesem konkreten Beispiel hatte der Microsoft Defender for Identity den Verdacht, dass das Kerberos Ticket eines Mitarbeitenden vom Direct Access Server auf einen Windows 11 Client übertragen und dort für den Zugriff auf AD-Dienste verwendet wurde.
Security Vorfall eindämmen – wichtige Maßnahmen und Analyseschritte
Bei einem Vorfall mit solch einem Schweregrad sollten umgehend Maßnahmen getroffen werden, die das Problem eindämmen. Hier stehen zum Beispiel folgende Möglichkeiten zur Verfügung:
- Netzwerk-Isolierung des Endgerätes über Defender for Endpoint
- Sperren des Benutzerkontos
- Ausschalten des Computers
- Full Scan der Endpunkte über Defender for Endpoint
Danach werden weitere Analyseschritte eingeleitet, die sich mit folgenden Fragestellungen befassen:
Welche Systeme sind in dem Vorfall eingeschlossen?
Der Direct Access Server dient zum Remote-Zugriff auf interne Ressourcen. Hier ist es nicht ungewöhnlich, dass Kerberos Tickets zur Authentifizierung verwendet werden. Der Windows 11 Client in dem Vorfall gehört zu dem Benutzer des Kerberos Tickets. Es ist also kein Fremdzugriff zu erkennen.
Was hat der Nutzer zu dem Zeitpunkt mit dem Endgerät gemacht?
Nach Analyse der Timeline und Interview des Nutzers hat zu dem Zeitpunkt durch verschiedene Vor-Ort-Meetings ein Standortwechsel und somit auch Netzwerkwechsel stattgefunden. Hier könnte also kurzzeitig eine Verbindung mit dem Direct Access Server aufgebaut worden sein.
Ist das Verhalten ungewöhnlich?
Zur Beantwortung dieser Frage hilft das Advanced Hunting im Defender Bereich weiter. Durch Abfragen werden die Anmeldeprotokolle ausgewertet und analysiert.
Beispiel:
IdentityLogonEvents |where AccountUpn == "" |sort by Timestamp asc |project Timestamp, ActionType, Application, LogonType,Protocol, FailureReason, AccountUpn, DeviceName, IPAddress
Microsoft Defender for Identity Advanced Hunting
So kann man die Anmeldungen zum Zeitpunkt des Vorfalls mit älteren Protokollen vergleichen. Hier stellt man fest, dass die Konstellation mit der Verbindung zum Direct Access Server auch sonst ähnlich abläuft. Spätestens zu diesem Zeitpunkt liegt der Verdacht nahe, dass es sich bei dem Vorfall um ein False Positive handelt. Dieser Verdacht muss aber noch bestätigt werden.
Kann das Problem nachgestellt werden?
Mit entsprechenden Tests des Netzwerkwechsels konnte der Incident zu dem Zeitpunkt reproduziert werden.
Passend dazu gab es von Microsoft kurze Zeit später den Hinweis im Health Center:
Somit gab es in diesem Fall erstmal Entwarnung und es handelt sich tatsächlich um ein False Positive. Dennoch konnte der Vorfall mit den eingesetzten Tools gut analysiert werden, um schnell einen Überblick über die Situation zu erhalten.
Security Assessment
Bei der Einführung von Defender Produkten wie z. B. Microsoft Defender for Identity helfen wir Ihnen gerne weiter. Durch unser Security Assessment erhalten Sie einen guten Überblick über ihre Sicherheitslage.
Weitere News zu diesem Thema
