Decken Sie Lücken in Ihrer Microsoft Identity Security auf.
Buchen Sie noch heute eine Analyse der Identitätslücke.
Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Technik des Angriffs

Kerberoasting

Das Kerberos-Protokoll verringert das Risiko wiederverwendeter und unsicherer Passwörter, kann Sie aber auch Kerberoasting Angriffen aussetzen. Im Folgenden erfahren Sie, was Sie über diese gängige Angriffstechnik wissen müssen.

Definition
Wie es funktioniert
Warum Angreifer sie benutzen
Erkennung
Häufig gestellte Fragen
Definition

Was ist Kerberoasting?

Kerberoasting ist eine Angriffstechnik, die auf Kerberos abzielt - ein Authentifizierungsprotokoll, das symmetrische Schlüsselkryptografie und ein Schlüsselverteilungszentrum (KDC) zur Überprüfung der Benutzeridentitäten verwendet.

Kerberoasting Die Angriffe beginnen, wenn ein authentifizierter Domänenbenutzer ein Dienstticket für einen Dienstprinzipalnamen (SPN) anfordert, der als eindeutige Kennung dient.

Der Angreifer extrahiert das Dienstticket, das mit dem Hash des Kennworts des zugehörigen Dienstkontos verschlüsselt ist. Anschließend versucht er, das Klartextpasswort zu knacken.

Wie es funktioniert

Wie funktioniert Kerberoasting ?

Kerberoasting Angriffe funktionieren durch Ausnutzung des vom KDC ausgestellten Authentifizierungstokens für das Ticket-Granting-Ticket (TGT), mit dem Zugriffstoken vom Kerberos-Ticket-Granting-Service (TGS) angefordert werden. Einfach ausgedrückt: Das Kerberos-Protokoll ermöglicht die Authentifizierung von Domänen-Benutzerkonten, ohne dass die Benutzer ständig neue Passwörter eingeben oder speichern müssen - und Angreifer haben spezielle Tools, um dies auszunutzen. Sie tun dies durch:

  1. Aufzählung von Dienstkonten: Der Angreifer, der bereits im Netzwerk Fuß gefasst hat, zählt die Dienstkonten auf. Dabei handelt es sich in der Regel um Konten mit in Active Directory registrierten SPNs.
  2. Anfordern von Tickets: Der Angreifer fordert ein Service-Ticket (TGS) für die identifizierten Service-Konten an.
  3. Ticket Granting: Der Domänencontroller stellt ein Ticket Granting Service (TGS)-Ticket aus, das mit dem Passwort-Hash des Dienstkontos verschlüsselt ist.
  4. Extrahieren verschlüsselter Tickets: Das Kerberos-Protokoll gibt ein verschlüsseltes Ticket zurück, das Daten enthält, die mit dem NTLM-Hash des Dienstkontos verschlüsselt sind.
  5. Offline-Knacken: Der Angreifer verwendet Tools wie John the Ripper oder Hashcat, um den Passwort-Hash zu knacken und die Klartext-Passwörter zu enthüllen.

Der Prozess Kerberoasting
Warum Angreifer sie benutzen

Warum Angreifer Kerberoasting

Angreifer verwenden Kerberoasting als eine Technik, um die gehashten Kennwörter von Dienstkonten in einer Microsoft Active Directory-Umgebung zu erhalten. Indem sie die Funktionsweise der Kerberos-Authentifizierung ausnutzen, können Angreifer diese Passwort-Hashes extrahieren und versuchen, sie offline zu knacken. Durch das erfolgreiche Knacken dieser Hashes können Angreifer erweiterte Rechte erhalten, die es ihnen ermöglichen, sich seitlich im Netzwerk zu bewegen, auf sensible Daten zuzugreifen oder das System weiter zu kompromittieren.

Hier sind die Gründe, warum Angreifer Kerberoasting verwenden:

Rechte-Eskalation

  • Zugriff auf Konten mit hohen Rechten: Dienstkonten verfügen häufig über erhöhte Berechtigungen. Mit ihren Anmeldedaten können Angreifer Aktionen durchführen, die höhere Berechtigungen erfordern.
  • Seitliche Bewegung: Mit dem Zugriff auf Dienstkonten können Angreifer verschiedene Systeme innerhalb des Netzwerks nutzen und so ihre Reichweite vergrößern.

Heimliche Ausbeutung

  • Geringes Entdeckungsrisiko: Kerberoasting kann von jedem authentifizierten Domänenbenutzer ausgeführt werden, ohne sofortige Sicherheitswarnungen auszulösen, da die Anforderung von Service-Tickets ein Standardverhalten ist.
  • Offline-Kennwort-Knacken: Da das Knacken von Passwörtern offline erfolgt, wird es von Netzwerküberwachungsprogrammen nicht erkannt.

Ausnutzung schwacher Sicherheitspraktiken

  • Schwache oder nicht geänderte Passwörter: Die Kennwörter von Dienstkonten sind oft schwach oder werden nicht regelmäßig geändert, was sie anfällig für das Knacken macht.
  • Fehlkonfigurationen: Falsch konfigurierte Konten und Berechtigungen können die Durchführung von Kerberoasting Angriffen erleichtern.

Keine besonderen Privilegien erforderlich

  • Zugänglich für normale Benutzer: Jeder Benutzer mit Domain-Zugang kann Service-Tickets anfordern, was es zu einem weithin zugänglichen Angriffsvektor macht.
  • Umgehung von Netzwerkeinschränkungen: Angreifer benötigen keinen direkten Zugriff auf den Domänencontroller oder sensible Server, um Kerberoasting auszuführen.
Plattform-Detektionen

Wie man Kerberoasting Angriffe erkennt

Um Ihr Unternehmen vor Kerberoasting Angriffen zu schützen, ist eine frühzeitige Erkennung entscheidend. Überwachen Sie nicht nur ungewöhnliche Kerberos-Verkehrsmuster und Ticketanfragen, sondern nutzen Sie auch verhaltensbasierte Erkennungsfunktionen, um Anomalien bei den tatsächlichen Anfragen zu identifizieren. 

Vectra AI bietet zwei Arten von Kerberoasting Erkennungen: 

  • Die SPN Sweep-Erkennung konzentriert sich auf die Identifizierung von Versuchen, Service Principal Names (SPNs) innerhalb Ihrer Active Directory-Umgebung aufzuzählen. Dies zeigt Ihnen, wann Angreifer möglicherweise Informationen über Dienstkonten sammeln, die sie angreifen können.
  • Die Cipher Downgrade-Erkennung sucht nach Versuchen, Kerberos-Tickets mit schwächeren Verschlüsselungstypen anzufordern, z. B. RC4-Verschlüsselung. Dies zeigt Ihnen, wann Angreifer das System wahrscheinlich manipulieren, um Tickets zu erzeugen, die leichter zu knacken sind.

‍DieAccount Scan-Erkennung identifiziert Versuche, den Kerberos-Authentifizierungsdienst nach gültigen Benutzerkonten abzufragen - eine häufige Vorstufe zu Kerberoasting.

Erkennung
Kerberoasting: SPN-Sweep
Mehr erfahren
Erkennung
Kerberoasting: Weak Cipher Request
Mehr erfahren
Erkennung
Kerberoasting: Gezielte Weak Cipher Response
Mehr erfahren
Erkennung
Kerberos Brute-Sweep
Mehr erfahren
Alle Entdeckungen erforschen

Schützen Sie Ihr Netzwerk mit erweiterten Erkennungsfunktionen

Kerberoasting ist eine von Dutzenden fortschrittlicher KI-gestützter Erkennungen, die in der Vectra AI Plattform verfügbar sind, die 90 % der relevanten MITRE ATT&CK Techniken abdeckt.

Erkunden Sie die Plattform
Mehr erfahren

Häufig gestellte Fragen