Vor kurzem haben wir ein weiteres internes Purple Team Assessment durchgeführt. Ziel einer solchen Übung ist es, das Wissen von Angreifern (Red Team) und Verteidigern (Blue Team) gezielt zusammenzubringen. Aus dieser Verbindung – Red und Blue – ergibt sich das Purple Team.
Bei unserem Purple Team Assessment wurden in zwei Lab-Umgebungen (Microsoft und Elastic) mehrstufige Angriffe simuliert. Dies entspricht einem realistischen Angriffsszenario, sodass auf diese Weise neben dem Wissensaufbau gleichzeitig auch die eingesetzten Mechanismen für die Erkennung und Abwehr von Cyberangriffen auf ihre Funktion und Effektivität getestet werden.
Angriffsszenario
Im Purple Team Assessment wurde ein realistischer Angriffspfad gegen eine Active-Directory-Umgebung simuliert:
- Identifikation eines gültigen Benutzers durch Username Enumeration
- Kompromittierung eines Benutzerkontos mittels Password Spraying
- Analyse der Active-Directory-Struktur und Identifikation von Schwachstellen
- Kompromittierung eines Servicekontos mittels Kerberoasting
- Erhöhung der Berechtigungen auf einem lokalen System durch Ausnutzung einer Service-Fehlkonfiguration
- Auslesen von Domainadministrator-Anmeldeinformationen aus SAM und LSASS
- Lateral Movement mittels Pass-the-Hash
- Kompromittierung des Domain Controllers über DCSync
Zusätzlich wurden zwei unabhängige Tests aus dem Pentest-Alltag durchgeführt, die auf häufig anzutreffenden Fehlkonfigurationen in Active-Directory-Umgebungen basieren:
- Ausnutzung einer Fehlkonfiguration (ESC1) in Active Directory Certificate Services zur Erlangung privilegierter Berechtigungen
- Übernahme eines privilegierten Benutzerkontos durch Missbrauch von Shadow Credentials
BEGRIFFE ERKLÄRT
- Username Enumeration: Versuch, gültige Benutzernamen in einer IT-Umgebung zu ermitteln.
- Password Spraying: Angriff, bei dem wenige häufig genutzte Passwörter gegen viele Benutzerkonten getestet werden.
- Kerberoasting: Auslesen verschlüsselter Servicekonto-Daten zum späteren Ermitteln von Passwörtern.
- SAM (Security Account Manager): Windows-Datenbank, in der lokale Benutzerkonten und Anmeldeinformationen gespeichert werden.
- LSASS (Local Security Authority Subsystem Service): Windows-Dienst, der Anmeldevorgänge und Zugangsdaten verwaltet.
- Pass-the-Hash: Nutzung gestohlener Passwortinformationen ohne Kenntnis des eigentlichen Passworts.
- DCSync: Auslesen von Anmeldedaten direkt aus dem Active Directory.
- ESC1: Kritische Fehlkonfiguration in den Active Directory Certificate Services.
- Shadow Credentials: Übernahme eines Benutzerkontos über manipulierte Authentifizierungszertifikate.
Warum Angreifer und Verteidiger bewusst zusammenarbeiten
Die Akteure im Purple Team arbeiten nicht gegeneinander, sondern gemeinsam an einem Ziel: Eine bessere Detektion von Angriffen und schnellere Reaktionsfähigkeit.
Dazu wurden die Angriffe von roter Seite aus geplant und in mehreren Phasen ausgeführt. Nach jeder Phase erfolgte eine gemeinsame Auswertung der Erkenntnisse: Die blaue Seite hat ihre Detektionen vorgestellt und versucht, den Angriff nachzustellen. Die Angreifer standen ihnen dabei ergänzend und korrigierend zur Seite.
Aus Erkenntnissen konkrete Maßnahmen ableiten
Durch die gemeinsame Analyse und die schnellen Feedback-Loops innerhalb eines solchen Assessments entsteht ein tiefgehendes Verständnis für die technische und strategische Vorgehensweise des jeweils anderen Teams. Dies hat einen unmittelbaren Mehrwert für die einzelnen Akteure: Während des Tests konnten erwartungsgemäß nicht alle simulierten Angriffe direkt erkannt werden. Die aufgezeigten Lücken helfen den Verteidigern (Blue Team), die Detektionsmechanismen im Security Operations Center (SOC) gezielt zu optimieren.
Beispiel: Shadow Credentials
Shadow Credentials stellen einen identitätsbasierten Angriff auf das Active Directory dar. Während des Purple Team Assessments zeigte sich, dass Microsoft-basierte Erkennungsmechanismen entsprechende Aktivitäten bereits weitgehend abdecken. Für eine zuverlässige Erkennung im Elastic SIEM mussten hingegen zusätzliche Audit-Logs eingebunden werden. Insbesondere das sogenannte Domain Object Auditing ist erforderlich, um Änderungen an Active-Directory-Objekten zu protokollieren und den Angriff zuverlässig zu erkennen.
Auf der anderen Seite hat das Assessment den Angreifern (Red Team) einen wertvollen Perspektivenwechsel geboten: Welche Aktivitäten sind in einem SOC tatsächlich sichtbar und welche können nur mit hohem Aufwand – oder möglicherweise gar nicht – erkannt werden? Diese Erkenntnisse fließen direkt in zukünftige Red-Team-Engagements ein. Im Unterschied zu klassischen Penetrationstests liegt dort ein stärkerer Fokus auf der Simulation eines realen Angriffsverhaltens und der Vermeidung der Entdeckung.
Nach einem solchen Event ist die konkrete Einarbeitung der gewonnenen Erkenntnisse in die bestehenden Mechanismen und Prozesse entscheidend. So sind beispielsweise erste Verbesserungen im SOC bereits umgesetzt. Dazu gehören weitere Detection Rules oder eine Schärfung unserer Logging Policy – Komponenten, von denen unsere Kunden direkt profitieren.
Nach dem Assessment ist vor dem Assessment
Aktuell etablieren wir das Purple Team Assessment als regelmäßig stattfindendes Event und festen Bestandteil unserer Security-Strategie: Kontinuierlich, realistisch und kollaborativ. Für das nächste Assessment stehen eine größere Lab-Umgebung, komplexere Angriffe und ein erweitertes Angriffsszenario im Fokus. Ganz getreu dem Motto: Nach dem Purple Teaming ist vor dem Purple Teaming. Und zwischen den Events wird fleißig im Backend weiterentwickelt, um das jeweils andere Team beim nächsten Assessment noch mehr herauszufordern.