Active Directory aus Angreifersicht: Schwachstellen mit NetExec finden und ausnutzen

Angreifer nutzen Sicherheitslücken in Active Directory gezielt aus, um ihre Rechte auszuweiten und so schrittweise von einem einzelnen System aus eine ganze Domäne zu übernehmen. Einblicke in die Denk- und Vorgehensweise der Angreifer helfen dabei, kritische Fehlkonfigurationen und Sicherheitslücken aufzuspüren, um die eigene Infrastruktur abzusichern.

Nach Abschluss des zweitägigen Workshops können Sie:

• typische AD-Angriffstechniken selbstständig umsetzen

• NetExec für verschiedene Phasen eines Angriffs sowie präventiv zum Selbstaudit verwenden

• komplexe Angriffspfade von der initialen Kompromittierung eines Clients bis zur Domänenübernahme nachvollziehen

• mit der Denkweise von Angreifern die eigene On-Prem-Infrastruktur besser schützen

Inhalte

In diesem Workshop erhalten Sie das nötige Know-how zu aktuellen Angriffen auf Active Directory, um Ihre On-Premises Infrastruktur zu schützen. Dazu gehen Sie direkt in die Offensive: Sie erhalten Zugriff auf eine eigene Instanz von Game of Active Directory (GOAD), einer absichtlich verwundbaren Active-Directory-Umgebung, die ein Unternehmensnetzwerk mit praxisnahen Fehlkonfigurationen simuliert.

Mit dem Werkzeug NetExec (ehemals CrackMapExec) lernen Sie, das Netzwerk aufzuklären, Schwachstellen zu identifizieren und auszunutzen. Der Weg führt von der ersten Informationssammlung über Techniken wie Password Spraying und Kerberoasting bis hin zur Kompromittierung von Servern und Domänencontrollern.

Die Übungen decken das Auslesen von Zugangsdaten, ihre Wiederverwendung und das Ausnutzen von Fehlkonfigurationen in den Active Directory Certificate Services (ADCS) ab. Außerdem erfahren Sie, wie sich aktuelle Tool-Dokumentationen an große Sprachmodelle übergeben lassen, um kontextbezogen passende Hilfe zu geben und Befehle zu generieren.

Themen in der Übersicht

• 1. Vorbereitung und Grundlagen

  • Aufbau der GOAD-Übungsumgebung kennenlernen

  • Angriffs- und Auditwerkzeug NetExec überblicken

  • Active-Directory-Kompromittierungen nachvollziehen

• 2. Netzwerk- und AD-Aufklärung

  • Ziele im Netzwerk identifizieren: Systeme, Benutzer, Netzwerkfreigaben, Datenbanken

  • Sicherheitsbeschreibungen und Zugriffskontrolllisten (ACLs) auslesen

  • Benutzer und Gruppen mit NetExec enumerieren

• 3. Benutzerkonten angreifen

  • Passwörter erraten mit Password Spraying

  • Dienstkonten angreifen mit Kerberoasting

  • Konten ohne Pre-Authentication finden (AS-REP Roasting)

• 4. Zugangsdaten kompromittieren

  • Netzwerkverkehr belauschen und Net-NTLM-Hashes abfangen und mit Relaying-Angriffen Systeme kompromittieren

  • Zugangsdaten aus dem Arbeitsspeicher von Systemen auslesen

• 5. im Netzwerk bewegen

  • erbeutete Hashes einsetzen (Pass-the-Hash)

  • Kerberos-Tickets wiederverwenden (Pass-the-Ticket)

  • von System zu System springen (Lateral Movement)

• 6. Rechte ausweiten

  • Fehlkonfigurationen in Zugriffskontrolllisten (ACLs) ausnutzen

  • Angriffe auf die Active Directory Certificate Services (ADCS)

  • der Weg zum Domänenadministrator

• 7. Verteidigung und Ausblick

  • wesentliche Gegenmaßnahmen aus Angreifersicht

  • Einsatz von LLMs zur Befehlsgenerierung

Zielgruppe

• Windows-Administratoren, die ihre Umgebung aus der Sicht eines Angreifers verstehen wollen

• Penetration-Tester und angehende Red Teamer, die ihre Fähigkeiten in einer komplexen Umgebung trainieren möchten

• Verteidiger und Blue Teamer, die Angriffe auf Active Directory aktiv nachvollziehen wollen, um die eigene Abwehr zu stärken

Voraussetzungen

Vorkenntnisse

• grundlegendes Verständnis von Active Directory (Benutzer, Gruppen, OUs, GPOs, ACLs)

• sicherer Umgang mit der Linux-Kommandozeile

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.

• Für die Dauer der Schulung sowie für eine Woche danach wird eine GOAD-Übungsumgebung bereitgestellt. Zudem erhalten die Teilnehmer eine Anleitung, wie sie sich selbst eine dauerhafte und reproduzierbare GOAD-Umgebung einrichten.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

• Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.  

• Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt der Workshop in Gruppen von höchstens 15 Personen.

• Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.