Kerberoasting ist eine ausgeklügelte Angriffsmethode, die das Kerberos-Authentifizierungsprotokoll ausnutzt, das integraler Bestandteil von Active Directory (ANZEIGE). Kerberos wurde entwickelt, um eine sichere Authentifizierung über potenziell unsichere Netzwerke zu ermöglichen, und wird zum unwissenden Komplizen dieser Angriffe, indem es eine Hintertür bereitstellt, durch die Angreifer unbefugten Zugriff auf vertrauliche Systeme und Daten erhalten können.
Kerberoasting zielt gezielt ab Dienstkonten innerhalb einer AD-Umgebung und nutzt dabei die Tatsache aus, dass jeder authentifizierte Benutzer Ticket Granting Service (TGS)-Tickets für jeden Dienst anfordern kann.
Angreifer nutzen diese Funktionalität, um TGS-Tickets anzufordern, die mit Service Principal Names (SPNs) verknüpft sind, und arbeiten dann offline, um die verschlüsselten Tickets zu knacken und Passwörter für Dienstkonten zu extrahieren. Diese Technik ermöglicht es Angreifern, Netzwerkverteidigungen zu umgehen und sich unbemerkt Zugang zu gesperrten Bereichen zu verschaffen.
Die Bedrohung durch Kerberoasting ist aufgrund seiner heimlichen Natur und des Potenzials für schwerwiegende Verstöße erheblich. Organisationen, die AD für Netzwerk Beglaubigung und die Autorisierungsstelle muss sich dieses Bedrohungsvektors bewusst sein, um wirksame Abwehrmaßnahmen implementieren zu können.
Das Verständnis von Kerberoasting – seiner Mechanismen, Auswirkungen und Präventionsstrategien – ist für Cybersicherheits- und IT-Experten, die mit der Verteidigung der digitalen Vermögenswerte ihrer Organisationen beauftragt sind, von entscheidender Bedeutung.
Kerberoasting nutzt das Kerberos-Authentifizierungsprotokoll, das ein zentraler Aspekt von Active Directory (AD) Wird zur Authentifizierung von Benutzern und Diensten in einem Netzwerk verwendet. Um diesen Angriff zu verstehen, sind grundlegende Kenntnisse von Kerberos selbst erforderlich. Kerberos basiert auf einem Ticket-basierten Mechanismus, um eine sichere Kommunikation in einem Netzwerk zu gewährleisten.
Das Herzstück von Kerberos ist das Ticket Granting Ticket (TGT), das bei erfolgreicher Anmeldung eines Benutzers ausgestellt wird. Das TGT wird dann verwendet, um Ticket Granting Service (TGS)-Tickets für den Zugriff auf verschiedene Netzwerkdienste anzufordern. Diese Dienste werden durch ihre Service Principal Names (SPNs) identifiziert. Es handelt sich um ein auf Sicherheit ausgelegtes System, doch seine Architektur öffnet unbeabsichtigt Tür und Tor für Ausnutzung.
Kerberoasting nutzt die Tatsache aus, dass jeder authentifizierte Benutzer innerhalb einer Domäne TGS-Tickets für jeden unter einem SPN definierten Dienst anfordern kann. Indem sich ein Angreifer als legitimer Benutzer ausgibt, fordert er TGS-Tickets für Dienste an, die mit dem Kennwort des Dienstkontos verschlüsselt sind. Dieser Angriff beruht auf der Fähigkeit des Angreifers, diese verschlüsselten Tickets offline zu nehmen und zu versuchen, sie zu knacken, um das Kennwort des Dienstkontos offenzulegen.
Dieser Prozess umfasst die folgenden Schritte:
Kerberoasting ist besonders effektiv, da es mit Standardbenutzerberechtigungen durchgeführt werden kann und keine Warnmeldungen auslöst, die mit anderen Angriffsformen in Verbindung gebracht werden könnten, wie etwa direkten Brute-Force-Versuchen, Passwörter gegen das Netzwerk zu knacken. Darüber hinaus entgeht der Offline-Charakter des Passwort-Cracking-Versuchs den Erkennungsmechanismen, die Netzwerke normalerweise einsetzen, um verdächtige Aktivitäten zu identifizieren, wie etwa mehrere fehlgeschlagene Anmeldeversuche.
Dieser Angriff verdeutlicht eine kritische Schwachstelle in der Implementierung des Kerberos-Protokolls in Windows AD-Umgebungen – die Abhängigkeit von der Geheimhaltung und Stärke von Dienstkontokennwörtern. Aufgrund der stillen und heimlichen Natur von Kerberoasting stellt es eine erhebliche Bedrohung für Unternehmen dar und ermöglicht es Angreifern, Zugriff auf sensible Dienste und Daten zu erhalten.
In Unternehmensnetzwerken sind Kerberoasting-Angriffe weit verbreitet und erfolgreich, was eine kritische Schwachstelle in der Cybersicherheit darstellt. Während Angreifer ihre Methoden verfeinern, bleibt Kerberoasting aufgrund seiner Kombination aus Heimlichkeit und Effektivität ein attraktiver Exploit. Es ist wichtig zu verstehen, wie diese Bedrohung funktioniert, um Abwehrmaßnahmen zu entwickeln, die ihrer Komplexität standhalten können.
Kerberoasting ist zu einer gängigen Angriffsmethode geworden, teilweise aufgrund der Allgegenwärtigkeit von Windows Active Directory (AD) in Unternehmensumgebungen und die relative Einfachheit der Angriffsausführung. Tools wie das Invoke-Kerberoast-Modul von PowerSploit oder Rubeus machen diese Angriffe auch für technisch weniger versierte Angreifer zugänglich. Vorfälle aus der Praxis, darunter bemerkenswerte Verstöße, die staatlich geförderten Akteuren und kriminellen Gruppen zugeschrieben werden, verdeutlichen die anhaltende Bedrohung durch Kerberoasting.
Kerberoasting-Angriffe gehören zu den ausgefeiltesten Cyber-Angriffen, die in den letzten Jahren beobachtet wurden, und zeigen, wie hoch die Risiken sind, wenn Unternehmen es versäumen, ihre Angriffe abzusichern Active Directory (AD-)Umgebungen ausreichend.
In einem bemerkenswerten Beispiel nutzten die Bedrohungsakteure hinter Operation Wocao das Invoke-Kerberoast-Modul des PowerSploit-Frameworks, um Kerberoasting-Angriffe durchzuführen. Bei dieser Operation wurde die Fähigkeit der Angreifer unter Beweis gestellt, verschlüsselte Diensttickets anzufordern und anschließend die Passwörter von Windows-Dienstkonten offline zu knacken.
Die gehackten Konten wurden dann verwendet seitliche Bewegung innerhalb von Netzwerken, was eine weitere Ausbeutung und den Zugriff auf sensible Informationen ermöglicht. Dieser Vorfall unterstreicht die Wirksamkeit von Kerberoasting in APT-Kampagnen (Advanced Persistent Threat) und unterstreicht, wie wichtig es ist, Dienstkonten vor solchen Angriffen zu schützen (MITRE ATT & CK).
Ein weiterer bedeutender Fall betraf die SolarWinds-Verstoß, bei dem Angreifer unter anderem Kerberoasting nutzten, um Zugriff auf Netzwerke zu erhalten. In diesem Fall erhielten Angreifer Ticket Granting Service (TGS)-Tickets für Active Directory Service Principal Names (SPNs) entdeckt und offline geknackt, um ihre Zugriffsrechte zu erweitern.
Dieser Kompromiss verdeutlichte nicht nur die Anfälligkeit von Dienstkonten für Kerberoasting, sondern auch das Potenzial weitreichender Auswirkungen, da der Verstoß zahlreiche hochkarätige Organisationen und Regierungsbehörden betraf (MITRE ATT & CK).
Die als Wizard Spider bekannte kriminelle Gruppe soll Kerberoasting als Teil ihres Arsenals nutzen. Sie nutzten Tools wie Rubeus und Mimikatz, um AES-Hashes und Service-Account-Anmeldeinformationen durch Kerberoasting zu stehlen. Diese Technik ermöglichte es ihnen, Zugriff und Kontrolle über kompromittierte Netzwerke aufrechtzuerhalten und erleichterte die Bereitstellung von Ransomware und andere bösartige Payloads. Die Aktivitäten von Wizard Spider sind ein Beispiel für die kriminelle Ausnutzung von Kerberoasting und unterstreichen das Risiko für Organisationen aller Branchen (MITRE ATT & CK).
Diese Beispiele von Kerberoasting-Angriffen veranschaulichen die dringende Notwendigkeit für Unternehmen, ihre AD-Umgebungen aktiv zu überwachen und zu sichern. Die Raffinesse und Vielfalt der Angreifer, die diese Technik nutzen – von staatlich geförderten APT-Gruppen bis hin zu kriminellen Kollektiven – unterstreichen die Bedeutung robuster Sicherheitsmaßnahmen, einschließlich strenger Passwortrichtlinien, regelmäßiger Überprüfung von Dienstkonten und der Implementierung von Erkennungsmechanismen zur Identifizierung verdächtiger Aktivitäten, die auf Hinweise hinweisen von Kerberoasting-Versuchen.
Um Kerberoasting zu erkennen und zu verhindern, bei dem legitime Funktionen des Kerberos-Authentifizierungsprotokolls für böswillige Zwecke ausgenutzt werden, ist ein vielschichtiger Ansatz erforderlich.
Organisationen können ihre Anfälligkeit für Kerberoasting durch strategische Planung, robuste Sicherheitsprotokolle und kontinuierliche Überwachung erheblich reduzieren.