BloodHound
Was ist BloodHound?
BloodHoundEin Open-Source-Werkzeug, das mit Graphentheorie Angriffspfade in Active Directory und Azure AD zu hochwertigen Zielen wie Domain Admin abbildet und analysiert.
BloodHound ist ein Open-Source-Tool zur Analyse von Angriffspfaden, entwickelt von Andy Robbins, Will Schroeder und Rohan Vazarkar und heute von SpecterOps gepflegt. Ein Collector (SharpHound oder AzureHound) sammelt Benutzer, Gruppen, Sessions, ACLs und Vertrauensbeziehungen aus Active Directory und Entra ID, anschliessend visualisiert die BloodHound-UI das Ergebnis als Neo4j-Graph und hebt den kuerzesten Pfad von einem kompromittierten Principal zu hochwertigen Zielen hervor. Red Teams nutzen das fuer Privilege-Escalation-Planung, Blue Teams zur Priorisierung von Haertung (Tier 0, ACL-Pruning, Reduktion von Gruppenmitgliedschaften). Die Sammlung erfordert Lese-Zugriff auf das Directory und ist oft auffaellig genug, um erkannt zu werden.
● Beispiele
- 01
Visualisierung des kuerzesten Pfads von einem Helpdesk-User zu Domain Admin ueber verschachtelte Gruppen.
- 02
Blue Team entfernt mit BloodHound ungenutzte DCSync-Rechte von Legacy-Service-Accounts.
● Häufige Fragen
Was ist BloodHound?
Ein Open-Source-Werkzeug, das mit Graphentheorie Angriffspfade in Active Directory und Azure AD zu hochwertigen Zielen wie Domain Admin abbildet und analysiert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet BloodHound?
Ein Open-Source-Werkzeug, das mit Graphentheorie Angriffspfade in Active Directory und Azure AD zu hochwertigen Zielen wie Domain Admin abbildet und analysiert.
Wie funktioniert BloodHound?
BloodHound ist ein Open-Source-Tool zur Analyse von Angriffspfaden, entwickelt von Andy Robbins, Will Schroeder und Rohan Vazarkar und heute von SpecterOps gepflegt. Ein Collector (SharpHound oder AzureHound) sammelt Benutzer, Gruppen, Sessions, ACLs und Vertrauensbeziehungen aus Active Directory und Entra ID, anschliessend visualisiert die BloodHound-UI das Ergebnis als Neo4j-Graph und hebt den kuerzesten Pfad von einem kompromittierten Principal zu hochwertigen Zielen hervor. Red Teams nutzen das fuer Privilege-Escalation-Planung, Blue Teams zur Priorisierung von Haertung (Tier 0, ACL-Pruning, Reduktion von Gruppenmitgliedschaften). Die Sammlung erfordert Lese-Zugriff auf das Directory und ist oft auffaellig genug, um erkannt zu werden.
Wie schützt man sich gegen BloodHound?
Schutzmaßnahmen gegen BloodHound kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für BloodHound?
Übliche alternative Bezeichnungen: BloodHound CE, BloodHound Enterprise.
● Verwandte Begriffe
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- attacks№ 583
Kerberoasting
Offline-Passwortangriff, der Kerberos-Service-Tickets fuer Dienstkonten anfordert und den verschluesselten Teil knackt, um deren Klartext-Passwoerter zu gewinnen.
- attacks№ 790
Pass-the-Hash
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
- defense-ops№ 606
Lateral Movement
MITRE-ATT&CK-Taktik (TA0008), die Techniken bündelt, mit denen sich Angreifer von einem kompromittierten Host auf weitere Systeme in der Umgebung ausbreiten.
- attacks№ 447
Golden Ticket
Gefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren.