DCSync

DCSync ist eine Angriffstechnik, bei der ein Angreifer das Directory Replication Service (DRS) Remote Protocol von Active Directory missbraucht, um Passwort-Hashes direkt vom Domain Controller anzufordern. Der Angriff imitiert dabei die reguläre Replikation zwischen Domain Controllern — das Zielsystem behandelt die Anfrage als legitimen Replikationsvorgang und liefert die angeforderten Credentials aus, ohne dass ein Zugriff auf den LSASS-Prozess oder das Dateisystem des Domain Controllers erforderlich ist. Im Gegensatz zu direkten LSASS-Schutz-Umgehungen operiert DCSync rein über das Netzwerkprotokoll, was die Erkennung erschwert. Credential Guard schützt zwar lokale Credentials, verhindert aber keinen DCSync-Angriff, da dieser auf Replikationsebene stattfindet.

Voraussetzungen und Ablauf

Für einen DCSync-Angriff benötigt der Angreifer ein Konto mit den Replikationsrechten DS-Replication-Get-Changes und DS-Replication-Get-Changes-All. Diese Berechtigungen sind standardmäßig Domain Admins, Enterprise Admins, der Built-in Administrators-Gruppe und dem Domain-Controller-Computerkonto zugewiesen. In schlecht gehärteten Umgebungen finden sich diese Rechte jedoch auch bei Service Accounts oder durch fehlerhafte Delegationen bei regulären Konten. Tools wie Mimikatz (lsadump::dcsync) oder Impacket (secretsdump.py) ermöglichen die praktische Durchführung des Angriffs.

Extrahierte Daten und Angriffsketten

DCSync liefert NTLM-Hashes, Kerberos-Schlüssel und Passwort-Historien beliebiger Domänenkonten. Besonders kritisch ist die Extraktion des KRBTGT-Hashes: Mit diesem kann ein Angreifer Golden Tickets erstellen und sich damit unbegrenzt und unbemerkt in der gesamten Domäne bewegen. Extrahierte Benutzer-Hashes ermöglichen Pass-the-Hash-Angriffe für Lateral Movement ohne Kenntnis der Klartextpasswörter. Ein einzelner erfolgreicher DCSync-Angriff kann damit zur vollständigen Kompromittierung der Domäne führen.

Erkennung

Der wichtigste Indikator ist Event ID 4662 im Security Log des Domain Controllers. Dieses Event protokolliert Zugriffe auf AD-Objekte mit Replikations-GUIDs (insbesondere 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 und 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2). Entscheidend ist die Filterung nach Quellen, die kein Domain Controller sind — legitime Replikation findet ausschließlich zwischen DCs statt. Ein SIEM-System, das diese Events korreliert und bei Replikationsanfragen von Nicht-DC-Quellen alarmiert, erkennt DCSync-Angriffe zuverlässig.

Gegenmaßnahmen

Die wichtigste Maßnahme ist ein regelmäßiges Audit der Replikationsberechtigungen: Nur Domain-Controller-Konten sollten über DS-Replication-Rechte verfügen. Ein Tiering-Modell verhindert, dass privilegierte Konten auf niedrig eingestuften Systemen exponiert und dort kompromittiert werden. PAM-Lösungen mit Just-in-Time-Zugriff reduzieren das Zeitfenster, in dem Angreifer Replikationsrechte missbrauchen können. Zusätzlich sollten Replikationsanfragen von Nicht-DC-Systemen aktiv überwacht und blockiert werden.

Relevanz für KMUs

In mittelständischen Umgebungen sind die Voraussetzungen für DCSync häufig gegeben: Replikationsrechte werden selten auditiert, Service Accounts verfügen über unnötig hohe Berechtigungen, und die Überwachung von Replikationsereignissen fehlt. Eine Inventarisierung aller Konten mit Replikationsrechten und die Einrichtung entsprechender Monitoring-Regeln sind niedrigschwellige Maßnahmen mit hoher Wirkung.