Goldenes Active Directory-Zertifikat

Goldenes Zertifikatist eine Persistenztechnik, die auf einer Verletzung der Active Directory-Zertifikatdienste (AD CS) aufbaut.

Was ist ein Goldenes Zertifikat?

Sobald böswillige Akteure administrativen Zugriff auf einen Active Directory-Zertifikatdienst (CA) erhalten, können sie ein CA-Zertifikat und einen privaten Schlüssel extrahieren. Nach Erhalt dieser Informationen können gültige Zertifikate erstellt werden, um sich als andere Benutzerobjekte innerhalb der Domäne auszugeben. Das CA-Zertifikat und der private Schlüssel von der Stamm- oder untergeordneten Zertifizierungsstelle können mithilfe integrierter Verwaltungstools für Sicherungszwecke oder Open-Source-Tools wie Mimikatz, Seatbelt und SharpDPAPI abgerufen werden. Mit Mimikatz kann auch ein neues Zertifikat erstellt werden, auch ForgeCert kann hierfür genutzt werden. Mit diesen Tools erstellte Zertifikate werden mit den privaten Schlüsseln des ausgestellten CA-Zertifikats signiert und können innerhalb der Domäne verwendet werden. Zertifikate bleiben bis auf Widerruf gültig; Wenn sie nicht regelmäßig widerrufen werden, können dauerhaft gültige Zertifikate entstehen, die es böswilligen Akteuren ermöglichen, ständig im Netzwerk präsent zu bleiben.

Schadensbegrenzung bei Golden-Zertifikaten

Goldenes Zertifikat Um den Angriff einzudämmen, ist es notwendig, sowohl die Stamm- als auch die untergeordneten Zertifizierungsstellen zu sichern. Aufgrund ihrer entscheidenden Rolle müssen Zertifizierungsstellen wie andere kritische Server mit Sicherheit ausgestattet sein; zum Beispiel Domänencontroller. Dies bedeutet, die Anzahl der Benutzerobjekte, die Zugriff auf Zertifizierungsstellen haben, zu minimieren, Zertifizierungsstellen nur für AD CS zu verwenden und Zertifizierungsstellen auf Anzeichen von Verstößen zu überwachen.

Goldenes ZertifikatSicherheitsmaßnahmen, die ergriffen werden müssen gegen:

  • Çok Faktörlü Kimlik Doğrulama (MFA): Verwenden Sie MFA, um privilegierte Benutzer von Systemen zu authentifizieren. MFA kann die Extraktion eines CA-Zertifikats und eines privaten Schlüssels verhindern, indem böswillige Akteure daran gehindert werden, sich mithilfe gestohlener Anmeldeinformationen Zugriff auf eine CA zu verschaffen.
  • Anwendungskontrollanwendung: Eine effektive Anwendungskontrollkonfiguration auf CAs verhindert die Ausführung bösartiger ausführbarer Dateien wie Mimikatz.
  • Verwenden des Hardware-Sicherheitsmoduls (HSM): Verwenden Sie HSM, um Schlüsselmaterial für Zertifizierungsstellen zu schützen. Wenn ein HSM verwendet wird, kann der private Schlüssel für Zertifizierungsstellen nicht von böswilligen Akteuren gesichert und exportiert werden.
  • Beschränken des Zugriffs auf AD CS-Zertifizierungsstellen: Erlauben Sie den Zugriff auf AD CS-Zertifizierungsstellen nur privilegierten Benutzern, die Zugriff benötigen. Dies kann dazu führen, dass weniger Benutzer aus der Sicherheitsgruppe „Domänenadministratoren“ stammen, wodurch sich die Wahrscheinlichkeit verringert, dass böswillige Akteure Zugriff auf eine Zertifizierungsstelle erhalten.
  • Beschränken Sie privilegierte Zugriffspfade auf AD CS-CA-Server: Beschränken Sie privilegierte Zugriffspfade auf AD CS CA-Server über Hop-On-Server und sichere Verwaltungsarbeitsstationen, auf denen nur erforderliche Ports und Dienste verwendet werden. AD CS-Server werden im „Enterprise Access Model“ von Microsoft als „Tier 0“-Asset klassifiziert.
  • Verwenden von AD CS-CA-Servern nur für AD CS: Installieren Sie keine nicht sicherheitsrelevanten Dienste oder Anwendungen. Dadurch wird die Angriffsfläche von AD CS-CA-Servern verringert, da weniger Dienste, Ports und Anwendungen zum Angriff auf einen AD CS-CA-Server verwendet werden können.

Goldenes Zertifikate Erkennung

Goldenes Zertifikate ist schwer zu erkennen, da es die Erkennung der anfänglichen Sicherung und des Exports eines CA-Zertifikats und seines privaten Schlüssels erfordert. AD CS-Zertifizierungsstellen können so konfiguriert werden, dass sie die Überwachungsprotokollierung einiger Ereignisse ermöglichen. Allerdings ist die Einsicht in die Sicherungen von CA-Zertifikaten immer noch schwierig.

Wie konfiguriere ich die AD CS CA-Ereignisüberwachung?

Die AD CS CA-Ereignisüberwachung ist standardmäßig nicht aktiviert. So konfigurieren Sie die Überwachungsprotokollierung für AD CS-Zertifizierungsstellen:

  • „Für Zertifikatsdienste gemäß Gruppenrichtlinie für Zertifizierungsstellen“Objektzugriff überwachenAktivieren Sie die Option '. Dies steht unter „Sicherheitsrichtlinie“.Erweiterte Überwachungsrichtlinienkonfiguration' finden Sie in.
  • '' auf der Registerkarte „Überwachung“ in den CA-EigenschaftenSichern und Wiederherstellen der CA-DatenbankAktivieren Sie ' als zu überwachende Ereignisse.

Ereignis 4876 wird ausgelöst, wenn eine vollständige Sicherung der CA-Datenbank angefordert wird. Dies geschieht, wenn im Sicherungsassistenten die Option „Zertifikatsdatenbank und Zertifikatsdatenbankprotokoll“ ausgewählt ist. Wenn nur die Option „Öffentlicher Schlüssel und CA-Zertifikat“ ausgewählt ist, wird dieses Ereignis nicht generiert. Daher kann man sich nicht darauf verlassen, dass dieses Ereignis alle Sicherungsversuche erkennt.

Windows-CAPI2-Protokolle können Zertifikatsexportereignisse erfassen. Diese Protokollierung muss in der Ereignisanzeige für Zertifizierungsstellen aktiviert werden. Wenn diese Option aktiviert ist, erzeugt jede Sicherung eines CA-Zertifikats und seines privaten Schlüssels das Ereignis 70 mit der Bezeichnung „Privaten Schlüssel des Zertifikats erwerben“.

Ereignis-IDs zur Erkennung goldener Zertifikate

Ereignis-IDQuelleAussage
70CAPI2 meldet sich im Root an
und untergeordnete CAs
-
CAPI2 protokolliert Root- und untergeordnete Zertifizierungsstellen
Dieses Ereignis wird generiert, wenn ein Zertifikat exportiert wird. Dieses Ereignis sollte gefiltert werden, um zu prüfen, ob das Feld „subjectName“ mit einem CA-Zertifikat übereinstimmt.
1102Wurzel und untergeordnet
Zertifizierungsstellen
-
Stamm- und untergeordnete Zertifizierungsstellen
Dieses Ereignis wird generiert, wenn das Überwachungsprotokoll „Sicherheit“ gelöscht wird. Um einer Entdeckung zu entgehen, können böswillige Akteure dieses Prüfprotokoll löschen, um Beweise für ihre Aktivitäten zu entfernen. Die Analyse dieses Ereignisses kann dabei helfen, festzustellen, ob gegen eine AD CS-Zertifizierungsstelle verstoßen wurde.
4103Wurzel und untergeordnet
CAs – Root- und untergeordnete CAs
Dieses Ereignis wird generiert, wenn PowerShell Pipeline-Ausführungsdetails ausführt und protokolliert. Gängige Tools wie Certutil und Mimikatz verwenden PowerShell. Die Analyse dieses Ereignisses kann auf ein Gold-Zertifikat für die mit diesen Tools verbundene PowerShell-Ausführung hinweisen.
4104Wurzel und untergeordnet
CAs – Root- und untergeordnete CAs
Dieses Ereignis wird generiert, wenn Code ausgeführt wird, um PowerShell-Befehle und -Skripts zu erfassen. Gängige Tools wie Certutil und Mimikatz verwenden PowerShell. Die Analyse dieses Ereignisses kann auf ein Gold-Zertifikat für die mit diesen Tools verbundene PowerShell-Ausführung hinweisen.
4876Wurzel und untergeordnet
CAs – Root- und untergeordnete CAs
Dieses Ereignis wird ausgelöst, wenn eine Sicherung der CA-Datenbank gestartet wird. Dies gibt keine Protokolle für den Export des privaten Schlüssels zurück, könnte aber ein Hinweis auf andere potenziell verdächtige Aktivitäten sein, die bei einer Zertifizierungsstelle stattfinden.

Die Erkennung und Analyse dieser Ereignisse ist a Goldenes ZertifikatSie können nicht nur das Vorhandensein von e erkennen, sondern auch als Frühwarnzeichen für einen möglichen Verstoß gegen AD CS CA dienen.

Kommentar