Kerberoasting
Wichtige Erkenntnisse
- In den letzten Jahren wurde Kerberoasting als eine Technik identifiziert, die in mehr als 20 % der Netzwerk-Penetrationstests verwendet wurde, was auf ihre Beliebtheit bei Angreifern hinweist. (Quelle: Sans Institute)
- Die durchschnittliche Zeit zum Knacken eines kerberoasteten Passworts wird durch den Einsatz leistungsstarker GPU-Arrays erheblich verkürzt, was die Notwendigkeit strenger Passwortrichtlinien verdeutlicht. (Quelle: Hashcat)
Wie funktioniert Kerberos?
Der Kerberos-Authentifizierungsprozess umfasst eine Reihe von Schritten zur Überprüfung der Identität von Benutzern oder Diensten, die den Zugang zu einem Netz anfordern. Er umfasst Ticket-Anforderungen, Validierung und den sicheren Austausch von Schlüsseln, um die Integrität der Kommunikation zu gewährleisten.
Kerberos verteilt die Schlüssel mit Hilfe einer vertrauenswürdigen Drittinstanz, dem Key Distribution Center (KDC). Das KDC teilt die Sitzungsschlüssel sicher zwischen dem Client und dem Server auf und verhindert so, dass Unbefugte Zugang erhalten.
Angriffe auf das Goldene Ticket
Ein Kerberos Golden Ticket ist ein mächtiges und potenziell bösartiges Artefakt, das durch Ausnutzung von Schwachstellen im Kerberos-Authentifizierungssystem erzeugt werden kann. Im Kontext der Cybersicherheit bezieht sich ein Golden Ticket auf ein gefälschtes Ticket Granting Ticket (TGT), das einem Angreifer langfristigen und uneingeschränkten Zugang zu einem Netzwerk gewährt.
Mit einem gefälschten Ticket (TGT / Golden Ticket) oder einem kompromittierten Konto kann der Angreifer Zugriff auf einen Dienst (SPN) im Netzwerk anfordern. Dieser Dienst ist mit einem Dienstkonto mit hohen Rechten verbunden, z. B. einem SQL-Dienstkonto. Das Key Distribution Centre (KDC) stellt ein Serviceticket aus, das mit dem öffentlichen Schlüssel des Passworts des Servicekontos verschlüsselt ist. Der Angreifer kann dann dieses Service-Ticket in einen Hash umwandeln, der in Hashcat oder John The Ripper exportiert werden kann, um dann das Passwort offline zu knacken. Dieser Angriff beruht auf schlechter Passworthygiene für Dienstkonten, der Wiederverwendung von Passwörtern für verschiedene Dienstkonten, dem Nicht-Ablaufen von Passwörtern für Dienstkonten und sogar dem Nicht-Löschen alter SPN-Einträge in Active Directory.
Jagd auf Kerberoasting
Ein guter Ausgangspunkt für die Suche nach potenziellen Beweisen für Kerberoasting in Ihrem Netzwerk ist das Kerberoasting Dashboard von Vectra Recall. Dieses Dashboard überwacht die Antworten auf Tickets mit schwachen Chiffren (RC4), die potenziell offline geknackt werden können. Normalerweise sollte die Verwendung von schwachen Chiffren in Ihrer Umgebung minimal sein. Wie bei jedem Beispiel hier ist es möglich, dass Ihre Umgebung eine große Anzahl von Kerberos-RC4-Anfragen hat, was dieses Dashboard weniger effektiv macht.
Wenn Sie sich dieses Dashboard ansehen, sehen Sie ein oberes Diagramm, das alle Benutzer der schwachen RC4-Verschlüsselung anzeigt. Dieses Diagramm sollte hoffentlich leer sein, da niemand in Ihrer Organisation diese schwache Verschlüsselung verwendet, aber es kann auch so aussehen. Es ist sicher, dass diese Kerberos-Transaktionen alle aus legitimen Geschäftsfällen stammen, daher sollten Sie versuchen, diese Instanzen aus dem Diagramm auszublenden, indem Sie auf das Symbol "-" neben jeder IP in der Legende klicken.
Nachdem Sie die am häufigsten vorkommenden Server ausgeblendet haben, sollten Sie ein Diagramm wie das folgende sehen, das einen klaren Ausreißer enthält, der eine Untersuchung rechtfertigt.
Klicken Sie auf diese Server-IP und dann auf das "+"-Symbol, um sich nur auf diesen Server zu konzentrieren. Unten in diesem Dashboard sehen Sie schnell die Clients, die Anfragen an diesen Server stellen, und wenn ein einzelner Client eine große Anzahl von Anfragen an diesen Server gestellt hat, sollten Sie andere Metadatenquellen wie LDAP und RPC heranziehen, um festzustellen, ob in dem betreffenden Zeitraum andere verdächtige Aktivitäten stattgefunden haben.
Weitere Informationen über unsere Entdeckungen zum Thema Kerberoasting:
Der Schutz Ihres Netzwerks vor Kerberoasting erfordert eine Kombination aus strengen Passwortrichtlinien, aufmerksamer Überwachung und kontinuierlicher Schulung. Vectra AI bietet fortschrittliche Sicherheitslösungen, die dabei helfen können, verdächtige Aktivitäten zu erkennen, die auf Kerberoasting und andere Techniken zum Diebstahl von Zugangsdaten hindeuten. Wenden Sie sich an uns, um Ihren Schutz zu stärken und die Integrität Ihrer Authentifizierungsprotokolle und Dienstkonten zu gewährleisten.
Weitere Grundlagen der Cybersicherheit
Häufig gestellte Fragen
Was ist das Kerberos-Authentifizierungsprotokoll?
Das Kerberos-Authentifizierungsprotokoll ist ein Netzwerk-Authentifizierungssystem, das die Kryptographie mit geheimen Schlüsseln verwendet, um Knoten, die über ein nicht sicheres Netzwerk kommunizieren, die Möglichkeit zu geben, ihre Identität gegenseitig auf sichere Weise nachzuweisen. Es wird häufig in Windows Active Directory-Umgebungen verwendet.
Wie funktioniert ein Kerberoasting-Angriff?
Bei einem Kerberoasting-Angriff verschafft sich ein Angreifer zunächst als normaler Benutzer Zugang zum Netzwerk. Dann zählt er die Dienstkonten im Active Directory auf, die mit Service Principal Names (SPNs) registriert sind. Der Angreifer fordert TGS-Tickets für diese Konten an, die mit dem Passwort des Kontos verschlüsselt sind. Diese Tickets können dann offline geknackt werden, um das Klartextpasswort des Kontos zu erfahren.
Was sind die Folgen eines erfolgreichen Kerberoasting-Angriffs?
Ein erfolgreicher Kerberoasting-Angriff kann zu unbefugtem Zugang zu sensiblen Bereichen des Netzwerks, zu Datenverletzungen, zu seitlichen Bewegungen innerhalb des Netzwerks und zur Eskalation von Privilegien führen, je nachdem, welche Zugriffsebene das kompromittierte Dienstkonto besitzt.
Wie können Unternehmen Kerberoasting-Aktivitäten erkennen?
Unternehmen können Kerberoasting-Aktivitäten erkennen, indem sie auf ein ungewöhnliches Volumen von TGS-Anfragen für Servicekonten achten, insbesondere solche, die von nicht-administrativen Benutzern gestellt werden, oder indem sie anormale Muster im Netzwerkverkehr erkennen, die auf massenhafte Ticketanfragen hindeuten.
Welche Strategien können helfen, Kerberoasting-Angriffe zu verhindern?
Zu den Präventivstrategien gehören: Einführung starker, komplexer Passwörter für Dienstkonten und regelmäßige Änderung dieser Passwörter. Begrenzung der Anzahl von Dienstkonten, für die Service Principal Names (SPNs) registriert sind. Einsatz von Kontosperrungsrichtlinien, um Brute-Force-Versuche zu vereiteln. Einsatz von Advanced Threat Analytics (ATA) oder ähnlichen Tools zur Überwachung und Alarmierung bei verdächtigen Aktivitäten, die auf Kerberoasting hindeuten.
Kann die Multi-Faktor-Authentifizierung (MFA) das Risiko des Kerberoasting mindern?
MFA ist zwar eine wirksame Maßnahme zur Verbesserung der Sicherheit von Benutzerkonten, doch Kerberoasting-Angriffe zielen speziell auf Dienstkonten ab, die in der Regel keine MFA für die Authentifizierung verwenden, so dass andere Schutzmaßnahmen zur Abwehr dieser Art von Angriffen wichtiger sind.
Wie wichtig ist die regelmäßige Überprüfung von Passwörtern und deren Komplexität für Dienstkonten?
Die regelmäßige Überprüfung von Passwörtern und die Durchsetzung der Passwortkomplexität für Dienstkonten sind wichtige Schutzmaßnahmen gegen Kerberoasting. Starke, komplexe Kennwörter sind viel schwerer zu knacken, selbst wenn ein Angreifer in den Besitz des TGS-Tickets gelangt.
Wie sollten Unternehmen auf einen vermuteten oder bestätigten Kerberoasting-Angriff reagieren?
Unternehmen sollten sofort die Passwörter für alle kompromittierten Dienstkonten zurücksetzen, eine gründliche Sicherheitsprüfung durchführen, um das Ausmaß des vom Angreifer erlangten Zugriffs zu ermitteln, und die Sicherheitsrichtlinien und -praktiken überprüfen und verstärken, um zukünftige Vorfälle zu verhindern.
Welche Rolle spielt die Schulung des Sicherheitsbewusstseins bei der Verhinderung von Kerberoasting?
Schulungen zum Sicherheitsbewusstsein spielen eine entscheidende Rolle, indem sie Administratoren und IT-Mitarbeiter über die Art der Kerberoasting-Angriffe, die Bedeutung sicherer Kennwortpraktiken für Dienstkonten und die Notwendigkeit einer aufmerksamen Überwachung von Authentifizierungs- und Autorisierungsprozessen informieren.
Welche künftigen Entwicklungen könnten sich auf die Verbreitung oder Erkennung von Kerberoasting-Angriffen auswirken?
Künftige Entwicklungen könnten Fortschritte bei den Verschlüsselungs- und Authentifizierungsmechanismen umfassen, die die Ausnutzung von Kerberos-Tickets erschweren, sowie Verbesserungen bei KI- und maschinellen Lerntechnologien, um anomale Authentifizierungsanfragen effektiver zu erkennen und darauf zu reagieren.