Was ist bloodhound?

BloodHound ist ein Open-Source-Tool zur Analyse und Visualisierung von Active Directory Umgebungen. Es nutzt Graph-Theorie, um Beziehungen innerhalb der AD-Infrastruktur aufzudecken und Angriffswege zu identifizieren. BloodHound hilft Sicherheitsexperten, Administratoren und Pentestern, komplexe Active Directory Umgebungen besser zu verstehen und Schwachstellen aufzudecken.

Hier sind einige wichtige Themen im Zusammenhang mit BloodHound:

  • Funktionsweise von BloodHound: https://de.wikiwhat.page/kavramlar/Funktionsweise%20von%20BloodHound - BloodHound sammelt Daten über die Active Directory Umgebung mithilfe des Collectors (oftmals SharpHound). Diese Daten umfassen Informationen zu Benutzern, Gruppen, Computern, Berechtigungen und Gruppenrichtlinien. Die gesammelten Daten werden dann in eine Graph-Datenbank (Neo4j) importiert.

  • Datenakquisition (SharpHound): https://de.wikiwhat.page/kavramlar/Datenakquisition%20(SharpHound) - SharpHound ist der empfohlene Collector für BloodHound. Es ist ein .NET-Tool, das Daten von Active Directory abfragt und in einem Format speichert, das von BloodHound importiert werden kann. SharpHound kann mit verschiedenen Berechtigungsstufen ausgeführt werden und bietet verschiedene Sammelmethoden.

  • Graph-Datenbank (Neo4j): https://de.wikiwhat.page/kavramlar/Graph-Datenbank%20(Neo4j) - BloodHound verwendet Neo4j als Graph-Datenbank, um die gesammelten Daten zu speichern und zu verwalten. Die Beziehungen zwischen den Objekten in Active Directory werden als Knoten und Kanten in der Graph-Datenbank dargestellt.

  • Angriffspfade: https://de.wikiwhat.page/kavramlar/Angriffspfade - BloodHound analysiert die Daten in der Graph-Datenbank, um potenzielle Angriffspfade aufzudecken. Diese Pfade zeigen, wie ein Angreifer mit geringen Berechtigungen schrittweise höhere Berechtigungen erlangen und schließlich die Kontrolle über die Active Directory Domäne übernehmen kann.

  • Privilegieneskalation: https://de.wikiwhat.page/kavramlar/Privilegieneskalation - BloodHound hilft bei der Identifizierung von Möglichkeiten zur Privilegieneskalation. Dies sind Situationen, in denen ein Benutzer oder eine Gruppe unbeabsichtigt oder aufgrund von Fehlkonfigurationen Zugriff auf Ressourcen oder Berechtigungen hat, die sie nicht haben sollten.

  • Risikobewertung und -minderung: https://de.wikiwhat.page/kavramlar/Risikobewertung%20und%20-minderung - Durch die Visualisierung von Angriffspfaden ermöglicht BloodHound Sicherheitsteams, die größten Risiken in ihrer Active Directory Umgebung zu identifizieren und Prioritäten bei der Behebung von Schwachstellen zu setzen.

  • Installation und Konfiguration: https://de.wikiwhat.page/kavramlar/Installation%20und%20Konfiguration - Die Einrichtung von BloodHound umfasst die Installation von Neo4j und der BloodHound GUI. Anschließend muss SharpHound konfiguriert werden, um Daten aus der Active Directory Umgebung zu sammeln.

  • Abfrage-Sprache (Cypher): https://de.wikiwhat.page/kavramlar/Abfrage-Sprache%20(Cypher) - Neo4j verwendet die Cypher-Abfragesprache, um Daten in der Graph-Datenbank abzufragen. BloodHound bietet eine intuitive Benutzeroberfläche, aber das Verständnis von Cypher kann bei der Erstellung benutzerdefinierter Abfragen und der tiefergehenden Analyse der Daten hilfreich sein.