Dell Secureworks har utviklet et verktøy mot forsøk på inntrengning i Active Directory, som de nå utgir i åpen kildekode, under en fri lisens.
DCEPT (Domain Controller Enticing Password Tripware) fungerer som en såkalt «honningkrukke» eller hacker-felle. Produktet er myntet på en spesiell type angrep.
Nærmere bestemt forsøk på å hente ut påloggingsdetaljer tilhørende administratorkonto fra systemminnet på en allerede kompromittert datamaskin i et Windows-nettverksdomene.
Et slikt angrep forutsetter at en systemadministratorkonto har logget seg på klienten tidligere, noe som kan representere en risiko. Fordi Windows i utgangspunktet bufrer påloggingsinformasjon i minnet. Det finnes angrepsverktøy som kan hente ut dette via en pålogget lokalbruker.
– Dette er en teknikk spioner og avanserte trusselaktører har benyttet seg av for å bryte seg inn i datanettverk i årevis, skriver Dell i en kunngjøring.
DCEPT består av tre komponenter, som henholdsvis genererer unike honningtoken-passord for hver klient og sesjon, plasserer disse i systemminnet, samt en sniffeprosess som overvåker nettverkstrafikk og fanger opp bruk av disse.
Kildekode og dokumentasjon om hvordan løsningen kan implementeres er lagt ut på Github.
