Einführung der neuen Vectra AI Plattformabdeckung für Copilot und Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Technik des Angriffs

LDAP-Abfrage

LDAP ist ein weit verbreitetes Protokoll für die Verwaltung von Benutzern, Geräten und Diensten in einer Unternehmensumgebung. Es ist ein wichtiger Bestandteil der Identitäts- und Zugriffsverwaltung, kann aber auch ein Weg für Angreifer sein, um Erkundungen durchzuführen, Privilegien zu erweitern und Daten zu exfiltrieren.

Definition
Wie es funktioniert
Warum Angreifer sie benutzen
Erkennung
Häufig gestellte Fragen
Definition

Was ist eine LDAP-Abfrage?

Die Lightweight Directory Access Protocol (LDAP)-Abfrage ist ein Befehl, der Informationen von einem Verzeichnisdienst anfordert. Sie ermöglicht Anwendungen den schnellen Zugriff auf und die Pflege von Daten in Diensten wie Active Directory und wird von Unternehmen häufig zur Verwaltung von Benutzerkonten, Geräten und zur Zugriffskontrolle verwendet. Es ist auch eine Technik, die von Angreifern verwendet wird, um Benutzeranmeldeinformationen und andere sensible Daten abzurufen.

Wie es funktioniert

Wie LDAP-Injection-Angriffe funktionieren

Ein LDAP-Angriff erfolgt, wenn ein Angreifer bösartigen Code in eine LDAP-Abfrage einschleust. Wie bei SQL-Injektionen wird das Fehlen einer ordnungsgemäßen Eingabevalidierung ausgenutzt, und der Angreifer kann die Abfrage durch Hinzufügen von Sonderzeichen manipulieren, um ihre Logik zu ändern. Als Ergebnis kann der Angreifer:

  • Umgehung der Authentifizierung: Angreifer können Abfragen manipulieren, um sich anzumelden, ohne die tatsächlichen Benutzernamen und Kennwörter zu kennen.
  • Eskalation von Privilegien: Angreifer verwenden LDAP-Abfragen, um Dienstkonten und Benutzer mit hohen Privilegien zu identifizieren und Schwachstellen oder Fehlkonfigurationen auszunutzen, um ihre Privilegien zu erweitern.
  • Exfiltrieren von Daten: Angreifer verwenden übermäßige oder ungewöhnliche LDAP-Abfragen, um Benutzernamen, Kennwörter und andere vertrauliche Daten aus dem Verzeichnis zu extrahieren.
  • Aufzählung des Verzeichnisses: Angreifer verwenden häufig LDAP-Abfragen, um Benutzer- und Gruppenmitgliedschaften aufzuzählen und die AD-Umgebung abzubilden.
  • Sammeln von Anmeldedaten: Böswillige LDAP-Abfragen können dazu verwendet werden, Informationen über Kennwortrichtlinien, das Ablaufen von Kennwörtern und Kontosperrungen zu sammeln, so dass Angreifer Kennwortangriffe vorbereiten können.

Die bei LDAP-Abfragen gesammelten Informationen helfen Angreifern oft bei der Planung und Durchführung ausgefeilterer Taktiken. Im Extremfall versucht ein Angreifer, die vollständige Kontrolle über Verzeichnisdienste zu erlangen, was zu einem weitreichenden Zugriff auf Netzwerkressourcen und -systeme führt.

LDAP-Abfrage-Injektionsverfahren
Warum Angreifer sie benutzen

Warum Angreifer auf LDAP-Verzeichnisse abzielen

Angreifer haben es auf LDAP-Verzeichnisse abgesehen, da sie häufig sensible Informationen über Benutzerkonten und die Netzwerkstruktur enthalten. LDAP-Abfragen werden in der Anfangsphase eines Angriffs verwendet, um Details über Benutzer, Gruppen, Computer und andere Objekte innerhalb eines Verzeichnisdienstes zu sammeln.

Plattform-Detektionen

Wie man Bedrohungen durch LDAP-Abfragen verhindert und erkennt

Der wichtigste Schritt, den Sicherheitsteams unternehmen können, um bösartige LDAP-Suchanfragen zu stoppen, ist die Erkennung von und Reaktion auf Bedrohungen. Mehrere Präventionsmaßnahmen können jedoch dazu beitragen, die Bedrohung durch LDAP-basierte Bedrohungen einzudämmen. Dazu gehören:

  • Rollenbasierte Zugriffskontrolle (RBAC): Schränken Sie ein, welche Konten LDAP-Abfragen durchführen können, und beschränken Sie den Zugriff auf sensible Attribute. Nur privilegierte Konten sollten Zugriff auf kritische Informationen wie Gruppenmitgliedschaften und Kennwortattribute haben.
  • Netzwerksegmentierung: Trennen Sie sensible Verzeichnisdienste vom allgemeinen Netzwerkverkehr, um es Angreifern zu erschweren, sich seitlich zu bewegen und Ihren LDAP-Server abzufragen.
  • ‍Verschlüsselung: Stellen Sie sicher, dass der LDAP-Datenverkehr mit LDAP over SSL (LDAPS) verschlüsselt wird, um ein Abfangen oder Manipulieren während der Übertragung zu verhindern.
  • Starke Authentifizierung und Überwachung: Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA) für privilegierte Konten und überwachen Sie die Aktivitäten genau. Dadurch wird es für Angreifer schwieriger, gestohlene Anmeldeinformationen für LDAP-Abfragen zu verwenden.
  • Häufige Überprüfungen: Überprüfen Sie regelmäßig LDAP-Berechtigungen und Abfragemuster, um sicherzustellen, dass keine Fehlkonfigurationen oder Anzeichen von Missbrauch vorliegen.

Sobald sich ein Angreifer Zugang zum Netzwerk verschafft hat, bleiben Ihnen nur wenige Minuten, um Bedrohungen zu erkennen und auf sie zu reagieren, bevor sie zu einem ausgewachsenen Einbruch führen. Der Schlüssel liegt in der Analyse des LDAP-Verkehrs in Echtzeit, so dass Sicherheitsanalysten Bedrohungen für Active Directory schnell erkennen und bekämpfen können. 

Eine Möglichkeit, dies zu tun, ist die Überwachung und Protokollierung des LDAP-Datenverkehrs. Sammeln Sie regelmäßig LDAP-Protokolle und analysieren Sie sie auf ungewöhnliche Muster. Einige Unternehmen verlassen sich auf SIEMs, um verdächtige Abfragen auf der Grundlage vordefinierter Regeln zu erkennen.

Eine effektivere Methode ist jedoch die Nutzung von KI-gesteuerter Verhaltensanalyse, um verdächtige LDAP-Abfragen zu erkennen. Die Vectra AI Plattform erstellt dazu eine Basislinie normaler LDAP-Aktivitäten, anhand derer sie dann Abweichungen erkennen kann, die auf potenziell bösartige Aktivitäten hindeuten.

Keine Artikel gefunden.
Alle Entdeckungen erforschen

Schützen Sie Ihr Netzwerk mit erweiterten Erkennungsfunktionen

Die Erkennung verdächtiger LDAP-Abfragen ist eine von Dutzenden fortschrittlicher, KI-gesteuerter Erkennungen, die in der Vectra AI Plattform verfügbar sind, die 90 % der relevanten MITRE ATT&CK Techniken abdeckt. Zusammen versetzen sie Sicherheitsteams in die Lage, sowohl bekannte als auch unbekannte Angriffe frühzeitig zu verhindern.

Erkunden Sie die Plattform
Mehr erfahren

Häufig gestellte Fragen