Forensik und Logging im Azure AD
Ransomware-Angriffe verdanken ihren Erfolg in der Regel einem kompromittierten Active Directory – so weit, so bekannt. Vergessen wird allerdings häufig der Anteil, den das Azure Active Directory daran hat. Um Datenspuren hier zu analysieren und Vorfälle auszuwerten, bedarf es spezieller Kenntnisse.
Die meisten der heutigen großen Cyberangriffe, beispielsweise durch einen Verschlüsselungstrojaner (engl. Ransomware), erfolgen durch eine Kompromittierung des Active Directory (AD). Was dabei jedoch häufig nicht bedacht wird, etwa bei präventiven Sicherheitsmaßnahmen oder auch der Analyse solcher Angriffe, ist die Tatsache, dass immer mehr Unternehmen ihr Active Directory zusätzlich zu der On-Premises-Instanz auch in die Cloud mit dem Azure Active Directory (AAD) synchronisieren. Oder vielleicht sogar ausschließlich das AAD verwenden.
Untersuchungen solcher Vorfälle zeigen, dass die Synchronisation häufig in Vergessenheit gerät. Ein Angreifer, der administrative Berechtigungen in der höchsten Ebene des AD erlangen konnte, kann sich jedoch ebenfalls im AAD einnisten, wenn AD und AAD miteinander verknüpft sind. Eine fehlende Analyse des AAD kann zur Folge haben, dass eine Hintertür über die Cloud unentdeckt und trotz beendeter Vorfallsbehandlung (Incident Handling, auch Incident Response) bestehen bleibt.