SecBoard
Zurück zur Übersicht

skewrun — Active Directory time discovery protocols for red teams. Stealthy extraction via Kerberos, SMB, NTLM, and CLDAP.

GitHub Trending·
Originalartikel lesen bei GitHub Trending

"skewrun" ist ein neues Rust-Tool für Red Teams, das die zeitspezifischen Protokolle von Active Directory (Kerberos, SMB, NTLM, CLDAP) nutzt. Es ermöglicht die unauffällige Extraktion von Zeitinformationen. Betroffen sind Unternehmen mit Active Directory, die ihre Systeme auf solche Stealth-Angriffe überprüfen sollten.

Kurzfassung

Skewrun ist ein neues, in Rust geschriebenes Tool für Red Teams, das Zeitinformationen aus Active Directory über Kerberos, SMB, NTLM und CLDAP unauffällig extrahiert. Es ermöglicht Angreifern, Netzwerkkonfigurationen zu kartieren, ohne Alarme auszulösen. Unternehmen sollten diese neue Technik kennen und ihre Systeme auf solche Stealth-Angriffe überprüfen.

Relevanz für Manager / CISOs
Priorität:Mittel
Betroffene

Unternehmen mit Active Directory.

Warum relevant

Das Tool ermöglicht die unauffällige Erkundung von Zeitinformationen im Active Directory, was Angreifern helfen kann, ihre Angriffe zu timen oder Erkennungsmechanismen zu umgehen. Es nutzt Standardprotokolle, was die Erkennung erschwert.

Realistisches Worst Case

Angreifer nutzen die extrahierten Zeitinformationen, um ihre Operationen präziser zu planen und Erkennungsmechanismen zu umgehen, was zu einer längeren Verweildauer im Netzwerk und potenziell erfolgreichen Angriffen führen kann.

Handlungsempfehlung

Überprüfen Sie die Überwachung von Kerberos-, SMB-, NTLM- und CLDAP-Protokollen auf ungewöhnliche Aktivitäten und implementieren Sie Verhaltensanalysen, um subtile Erkundungsversuche zu identifizieren.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Protokollierung und Überwachung von Kerberos-, SMB-, NTLM- und CLDAP-Verkehr auf ungewöhnliche Anfragen oder Muster, die auf Erkundung hindeuten könnten.
  • Validieren Sie, ob Ihre SIEM-Regeln oder EDR-Lösungen in der Lage sind, subtile Abfragen von Zeitinformationen über diese Protokolle zu erkennen.
  • Führen Sie eine interne Überprüfung durch, um sicherzustellen, dass die Zeitkonfigurationen in Ihrem Active Directory konsistent sind und keine unnötigen Informationen preisgeben.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
DiscoveryT1087 Account DiscoveryLownutzt die zeitspezifischen Protokolle von Active Directory ... Es ermöglicht die unauffällige Extraktion von Zeitinformationen.
DiscoveryT1018 Remote System DiscoveryLownutzt die zeitspezifischen Protokolle von Active Directory ... Es ermöglicht die unauffällige Extraktion von Zeitinformationen.
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Zeitinformationen extrahiert werden können (z.B. Systemzeit, Zeitzonen, NTP-Server).
  • Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) oder Erkennungsregeln genannt.
  • Es wird nicht spezifiziert, welche spezifischen Schwachstellen oder Fehlkonfigurationen in Active Directory ausgenutzt werden, außer der Nutzung der Standardprotokolle.
Themen
active-directoryactive-directory-exploitationcldapinfoseckerberosntlmoffensive-securitypentestpentest-toolpentesting