LDAP Monitor — Live-Überwachung für Veränderungen an LDAP Objekten

Das ist mal wieder ein klassisches Beispiel für sogenannte “dual use software”. In unserem Pentest-Alltag nutzen wir immer häufiger die Software LDAP-Monitor, welche auf Github frei verfügbar ist. Damit lassen sich Veränderungen an LDAP-Objekten wie Computer- oder Benutzer-Konten beobachten bzw. auch gezielt überwachen. Daraus gewonnene Informationen, wie zum Beispiel wann ein Benutzeraccount gesperrt wird oder wann sich ein bestimmter Benutzer anmeldet, können in einem internen Pentest extrem hilfreich sein. Erforderlich ist lediglich ein beliebiger Benutzeraccount, welcher sich in der “Domain-Users” Gruppe der zu überwachenden Windows-Domäne befindet.

Aber auch Administratoren können von den Informationen profitieren. Ob für die Erkennung von AD basierten Angriffsmethoden oder dem Aufspüren aktiver Malware im Netzwerk — Echtzeit-Daten können in vielen Bereichen ein hilfreiches Werkzeug sein.

Link zum Tool: https://github.com/p0dalirius/LDAPmonitor

Wer nicht selbst kompilieren will und dem Autor uneingeschränktes Vertrauen schenkt, kann sich direkt an den Releases bedienen. Wir empfehlen die Powershell-Variante für Sysadmins.