OPUS


Volltext-Downloads (blau) und Frontdoor-Views (grau)

Indikatoren für eine Kompromittierung in Active Directory Datenbanken

Indicators of compromise in Active Directory databases

  • Die vorliegende Arbeit beschäftigt sich mit den Fragen, welche Indikatoren für einer Kompromittierung (IoC) in Active Directory gefunden werden können, wo sich diese befinden und mit welchen Werkzeugen sie offline erfasst werden können. Das Ziel ist, diese Fragen mittels einer Übersicht über die Indikatoren einer Kompromittierung und einer Übersicht über relevante Dateien für eine forensische Untersuchung zu beantworten. Für die Erstellung der Übersichten wurden Angriffsmethoden auf Active Directory nach relevanten Ereignissen analysiert. Diese Ereignisse wurden in einer Testumgebung nachgestellt und anschließend offline mit den recherchierten Werkzeugen analysiert. Durch die Ergebnisse der Arbeit konnte gezeigt werden, welche IoCs in Active Directory grundsätzlich existieren können, wo sich diese befinden und mit welchen Werkzeugen die Indikatoren offline erhoben werden. Es wird ebenfalls ersichtlich, welche Indikatoren nicht erhoben werden können und warum dies so ist. Der Grund für die eingeschränkte Offline-Erhebung von gewissen IoCs ist das Fehlen von Werkzeugen, die bestimmte Informationen aus der Datenbank offline extrahieren können.
  • This bachelor thesis deals with the questions which indicators of compromise (IoC) can be found in Active Directory, where they are located and with which tools they can be detected offline. The goal is to answer these questions by means of an overview of indicators of compromise and an overview of relevant files for a forensic investigation. To create the overviews, attack methods on Active Directory were analyzed for relevant events. The events were recreated in a test environment and then analyzed offline using the researched tools. The results of the work showed which IoCs can basically exist in Active Directory, where they are located and with which tools the indicators can be collected offline. It is also evident which indicators cannot be collected and why. The reason for the limited offline collection of certain IoCs is the lack of tools that can extract certain information from the database offline.

Download full text files

  • BA_Deil_Thorn.pdf
    deu

Export metadata

Additional Services

Search Google Scholar

Statistics

frontdoor_oas
Metadaten
Author:Thorn Deil
Advisor:Ronny Bodach, Jan Starke
Document Type:Bachelor Thesis
Language:German
Year of Completion:2021
Granting Institution:Hochschule Mittweida
Release Date:2023/08/23
GND Keyword:Active Directory; Computersicherheit
Institutes:Angewandte Computer‐ und Bio­wissen­schaften
DDC classes:005.8 Internetkriminalität, Computersicherheit, Datensicherung, Computerforensik, Identitätsverwaltung
Open Access:Innerhalb der Hochschule
Licence (German):License LogoUrheberrechtlich geschützt