skewrun — Active Directory time discovery protocols for red teams. Stealthy extraction via Kerberos, SMB, NTLM, and CLDAP.
"skewrun" ist ein neues Rust-Tool für Red Teams, das die zeitspezifischen Protokolle von Active Directory (Kerberos, SMB, NTLM, CLDAP) nutzt. Es ermöglicht die unauffällige Extraktion von Zeitinformationen. Betroffen sind Unternehmen mit Active Directory, die ihre Systeme auf solche Stealth-Angriffe überprüfen sollten.
Skewrun ist ein neues, in Rust geschriebenes Tool für Red Teams, das Zeitinformationen aus Active Directory über Kerberos, SMB, NTLM und CLDAP unauffällig extrahiert. Es ermöglicht Angreifern, Netzwerkkonfigurationen zu kartieren, ohne Alarme auszulösen. Unternehmen sollten diese neue Technik kennen und ihre Systeme auf solche Stealth-Angriffe überprüfen.
Unternehmen mit Active Directory.
Das Tool ermöglicht die unauffällige Erkundung von Zeitinformationen im Active Directory, was Angreifern helfen kann, ihre Angriffe zu timen oder Erkennungsmechanismen zu umgehen. Es nutzt Standardprotokolle, was die Erkennung erschwert.
Angreifer nutzen die extrahierten Zeitinformationen, um ihre Operationen präziser zu planen und Erkennungsmechanismen zu umgehen, was zu einer längeren Verweildauer im Netzwerk und potenziell erfolgreichen Angriffen führen kann.
Überprüfen Sie die Überwachung von Kerberos-, SMB-, NTLM- und CLDAP-Protokollen auf ungewöhnliche Aktivitäten und implementieren Sie Verhaltensanalysen, um subtile Erkundungsversuche zu identifizieren.
- ▸Überprüfen Sie die Protokollierung und Überwachung von Kerberos-, SMB-, NTLM- und CLDAP-Verkehr auf ungewöhnliche Anfragen oder Muster, die auf Erkundung hindeuten könnten.
- ▸Validieren Sie, ob Ihre SIEM-Regeln oder EDR-Lösungen in der Lage sind, subtile Abfragen von Zeitinformationen über diese Protokolle zu erkennen.
- ▸Führen Sie eine interne Überprüfung durch, um sicherzustellen, dass die Zeitkonfigurationen in Ihrem Active Directory konsistent sind und keine unnötigen Informationen preisgeben.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Discovery | T1087 Account Discovery | Low | nutzt die zeitspezifischen Protokolle von Active Directory ... Es ermöglicht die unauffällige Extraktion von Zeitinformationen. |
| Discovery | T1018 Remote System Discovery | Low | nutzt die zeitspezifischen Protokolle von Active Directory ... Es ermöglicht die unauffällige Extraktion von Zeitinformationen. |
- Es wird nicht spezifiziert, welche spezifischen Zeitinformationen extrahiert werden können (z.B. Systemzeit, Zeitzonen, NTP-Server).
- Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) oder Erkennungsregeln genannt.
- Es wird nicht spezifiziert, welche spezifischen Schwachstellen oder Fehlkonfigurationen in Active Directory ausgenutzt werden, außer der Nutzung der Standardprotokolle.