Kerberoasting
Kerberoasting ist eine ausgeklügelte Angriffstechnik, die das Kerberos-Authentifizierungsprotokoll ausnutzt, um Passwörter von Dienstkonten in Windows-Netzwerken zu knacken. Indem sie auf Dienstkonten mit schwachen oder leicht zu erratenden Passwörtern abzielen, können Angreifer TGS-Tickets (Ticket Granting Service) anfordern und diese anschließend offline knacken, um Klartextpasswörter zu enthüllen.
- In den letzten Jahren wurde Kerberoasting als eine Technik identifiziert, die in mehr als 20 % der Netzwerk-Penetrationstests verwendet wurde, was auf ihre Beliebtheit bei Angreifern hinweist. (Quelle: Sans Institute)
- Die durchschnittliche Zeit zum Knacken eines kerberoasteten Passworts wird durch den Einsatz leistungsstarker GPU-Arrays erheblich verkürzt, was die Notwendigkeit strenger Passwortrichtlinien verdeutlicht. (Quelle: Hashcat)
Wie funktioniert Kerberos?
Der Kerberos-Authentifizierungsprozess umfasst eine Reihe von Schritten zur Überprüfung der Identität von Benutzern oder Diensten, die Zugang zu einem Netz beantragen. Er umfasst Ticket-Anforderungen, Validierung und den sicheren Austausch von Schlüsseln, um die Integrität der Kommunikation zu gewährleisten.
Kerberos verteilt die Schlüssel mit Hilfe einer vertrauenswürdigen Drittinstanz, dem Key Distribution Center (KDC). Das KDC teilt die Sitzungsschlüssel sicher zwischen dem Client und dem Server auf und verhindert so, dass Unbefugte Zugang erhalten.
Angriffe auf das Goldene Ticket
Ein Kerberos Golden Ticket ist ein mächtiges und potenziell bösartiges Artefakt, das durch Ausnutzung von Schwachstellen im Kerberos-Authentifizierungssystem erzeugt werden kann. Im Kontext der Cybersicherheit bezieht sich ein Golden Ticket auf ein gefälschtes Ticket Granting Ticket (TGT), das einem Angreifer langfristigen und uneingeschränkten Zugang zu einem Netzwerk gewährt.
Mit einem gefälschten Ticket (TGT / Golden Ticket) oder einem kompromittierten Konto kann der Angreifer Zugriff auf einen Dienst (SPN) im Netzwerk anfordern. Dieser Dienst ist mit einem Dienstkonto mit hohen Rechten verbunden, z. B. einem SQL-Dienstkonto. Das Key Distribution Centre (KDC) stellt ein Serviceticket aus, das mit dem öffentlichen Schlüssel des Passworts des Servicekontos verschlüsselt ist. Der Angreifer kann dann dieses Service-Ticket in einen Hash umwandeln, der in Hashcat oder John The Ripper exportiert werden kann, um dann das Passwort offline zu knacken. Dieser Angriff beruht auf schlechter Passworthygiene für Dienstkonten, der Wiederverwendung von Passwörtern für verschiedene Dienstkonten, dem Nicht-Ablaufen von Passwörtern für Dienstkonten und sogar dem Nicht-Löschen alter SPN-Einträge in Active Directory.
Auf der Jagd nach Kerberoasting
Ein guter Ausgangspunkt für die Suche nach potenziellen Beweisen für Kerberoasting in Ihrem Netzwerk ist das Kerberoasting Dashboard von Vectra Recall. Dieses Dashboard überwacht die Antworten auf Tickets mit schwachen Chiffren (RC4), die potenziell offline geknackt werden können. Normalerweise sollte die Verwendung von schwachen Chiffren in Ihrer Umgebung minimal sein. Wie bei jedem Beispiel hier ist es möglich, dass Ihre Umgebung eine große Anzahl von Kerberos-RC4-Anfragen hat, was dieses Dashboard weniger effektiv macht.
Wenn Sie sich dieses Dashboard ansehen, sehen Sie ein oberes Diagramm, das alle Benutzer der schwachen RC4-Verschlüsselung anzeigt. Dieses Diagramm sollte hoffentlich leer sein, da niemand in Ihrer Organisation diese schwache Verschlüsselung verwendet, aber es kann auch so aussehen. Es ist sicher, dass diese Kerberos-Transaktionen alle aus legitimen Geschäftsfällen stammen, daher sollten Sie versuchen, diese Instanzen aus dem Diagramm auszublenden, indem Sie auf das Symbol "-" neben jeder IP in der Legende klicken.
Nachdem Sie die am häufigsten vorkommenden Server ausgeblendet haben, sollten Sie ein Diagramm wie das folgende sehen, das einen klaren Ausreißer enthält, der eine Untersuchung rechtfertigt.
Klicken Sie auf diese Server-IP und dann auf das "+"-Symbol, um sich nur auf diesen Server zu konzentrieren. Unten in diesem Dashboard können Sie schnell die Clients sehen, die Anfragen an diesen Server stellen, und wenn ein einzelner Client eine große Anzahl von Anfragen an diesen Server gestellt hat, sollten Sie andere Metadatenquellen wie LDAP und RPC heranziehen, um festzustellen, ob in dem betreffenden Zeitraum weitere verdächtige Aktivitäten stattgefunden haben.
Weitere Informationen über unsere Entdeckungen im Zusammenhang mit Kerberoasting:
Der Schutz Ihres Netzwerks vor Kerberoasting erfordert eine Kombination aus strengen Passwortrichtlinien, aufmerksamer Überwachung und ständiger Weiterbildung. Vectra AI bietet fortschrittliche Sicherheitslösungen, die verdächtige Aktivitäten erkennen können, die auf Kerberoasting und andere Techniken zum Diebstahl von Anmeldeinformationen hinweisen. Wenden Sie sich an uns, um Ihren Schutz zu stärken und die Integrität Ihrer Authentifizierungsprotokolle und Dienstkonten zu gewährleisten.