Indikatoren für eine Kompromittierung in Active Directory Datenbanken
Indicators of compromise in Active Directory databases
- Die vorliegende Arbeit beschäftigt sich mit den Fragen, welche Indikatoren für einer Kompromittierung (IoC) in Active Directory gefunden werden können, wo sich diese befinden und mit welchen Werkzeugen sie offline erfasst werden können. Das Ziel ist, diese Fragen mittels einer Übersicht über die Indikatoren einer Kompromittierung und einer Übersicht über relevante Dateien für eine forensische Untersuchung zu beantworten. Für die Erstellung der Übersichten wurden Angriffsmethoden auf Active Directory nach relevanten Ereignissen analysiert. Diese Ereignisse wurden in einer Testumgebung nachgestellt und anschließend offline mit den recherchierten Werkzeugen analysiert. Durch die Ergebnisse der Arbeit konnte gezeigt werden, welche IoCs in Active Directory grundsätzlich existieren können, wo sich diese befinden und mit welchen Werkzeugen die Indikatoren offline erhoben werden. Es wird ebenfalls ersichtlich, welche Indikatoren nicht erhoben werden können und warum dies so ist. Der Grund für die eingeschränkte Offline-Erhebung von gewissen IoCs ist das Fehlen von Werkzeugen, die bestimmte Informationen aus der Datenbank offline extrahieren können.
- This bachelor thesis deals with the questions which indicators of compromise (IoC) can be found in Active Directory, where they are located and with which tools they can be detected offline. The goal is to answer these questions by means of an overview of indicators of compromise and an overview of relevant files for a forensic investigation. To create the overviews, attack methods on Active Directory were analyzed for relevant events. The events were recreated in a test environment and then analyzed offline using the researched tools. The results of the work showed which IoCs can basically exist in Active Directory, where they are located and with which tools the indicators can be collected offline. It is also evident which indicators cannot be collected and why. The reason for the limited offline collection of certain IoCs is the lack of tools that can extract certain information from the database offline.
Author: | Thorn Deil |
---|---|
Advisor: | Ronny Bodach, Jan Starke |
Document Type: | Bachelor Thesis |
Language: | German |
Year of Completion: | 2021 |
Granting Institution: | Hochschule Mittweida |
Release Date: | 2023/08/23 |
GND Keyword: | Active Directory; Computersicherheit |
Institutes: | Angewandte Computer‐ und Biowissenschaften |
DDC classes: | 005.8 Internetkriminalität, Computersicherheit, Datensicherung, Computerforensik, Identitätsverwaltung |
Open Access: | Innerhalb der Hochschule |
Licence (German): | Urheberrechtlich geschützt |