Shadow Credentials
high
Sprache:
Beschreibung
Die Shadow Credentials-Backdoor-Technik nutzt die legitime Microsoft-Funktion „Windows Hello for Business“ aus. Wenn das Active Directory diese Funktion nicht verwendet, lässt sich dieser Persistenzmechanismus leicht erkennen. Wenn es diese Funktion verwendet, könnten Fehlkonfigurationen auf ein Kompromittierung oder schlechte Verwaltungsverfahren hinweisen.
Lösung
Fehlkonfigurationen von Schlüssel-Anmeldeinformationen in der Windows Hello for Business-Funktion können sich erheblich auf die Sicherheit von Active Directory auswirken, da möglicherweise alternative Authentifizierungsmethoden eingeführt werden. Daher ist eine gründliche und sorgfältige Überwachung unerlässlich.
Siehe auch
Black Hat Europe 2019 - Exploiting Windows Hello for Business
Shadow Credentials Abusing Key Trust Account Mapping for Account Takeover
Parsing the msDS-KeyCredentialLink value for ShadowCredentials attack
Indikatordetails
Name: Shadow Credentials
Codename: C-SHADOW-CREDENTIALS
Schweregrad: High
Typ: Active Directory Indicator of Exposure
Family: Authentifizierung und Anmeldeinformationen
- Taktik: TA0003 – Persistenz -
- Techniken: T1098 – Kontomanipulation -
- Taktik: TA0006 – Zugriff auf Anmeldeinformationen -
- Techniken: T1556 – Authentifizierungsprozess ändern -
Bekannte Tools von Angreifern
Michael Grafnetter: DSInternals
Elad Shamir: Whisker
Charlie Bromberg: pywhisker