Was ist Kerberosten?

Kerberoasting ist eine ausgeklügelte Angriffsmethode, die das Kerberos-Authentifizierungsprotokoll ausnutzt, das integraler Bestandteil von Active Directory (ANZEIGE). Kerberos wurde entwickelt, um eine sichere Authentifizierung über potenziell unsichere Netzwerke zu ermöglichen, und wird zum unwissenden Komplizen dieser Angriffe, indem es eine Hintertür bereitstellt, durch die Angreifer unbefugten Zugriff auf vertrauliche Systeme und Daten erhalten können.

Kerberoasting zielt gezielt ab Dienstkonten innerhalb einer AD-Umgebung und nutzt dabei die Tatsache aus, dass jeder authentifizierte Benutzer Ticket Granting Service (TGS)-Tickets für jeden Dienst anfordern kann.

Angreifer nutzen diese Funktionalität, um TGS-Tickets anzufordern, die mit Service Principal Names (SPNs) verknüpft sind, und arbeiten dann offline, um die verschlüsselten Tickets zu knacken und Passwörter für Dienstkonten zu extrahieren. Diese Technik ermöglicht es Angreifern, Netzwerkverteidigungen zu umgehen und sich unbemerkt Zugang zu gesperrten Bereichen zu verschaffen.

Die Bedrohung durch Kerberoasting ist aufgrund seiner heimlichen Natur und des Potenzials für schwerwiegende Verstöße erheblich. Organisationen, die AD für Netzwerk Beglaubigung und die Autorisierungsstelle muss sich dieses Bedrohungsvektors bewusst sein, um wirksame Abwehrmaßnahmen implementieren zu können.

Das Verständnis von Kerberoasting – seiner Mechanismen, Auswirkungen und Präventionsstrategien – ist für Cybersicherheits- und IT-Experten, die mit der Verteidigung der digitalen Vermögenswerte ihrer Organisationen beauftragt sind, von entscheidender Bedeutung.

So funktioniert Kerberoasting

Kerberoasting nutzt das Kerberos-Authentifizierungsprotokoll, das ein zentraler Aspekt von Active Directory (AD) Wird zur Authentifizierung von Benutzern und Diensten in einem Netzwerk verwendet. Um diesen Angriff zu verstehen, sind grundlegende Kenntnisse von Kerberos selbst erforderlich. Kerberos basiert auf einem Ticket-basierten Mechanismus, um eine sichere Kommunikation in einem Netzwerk zu gewährleisten.

Das Kerberos-Authentifizierungsprotokoll

Das Herzstück von Kerberos ist das Ticket Granting Ticket (TGT), das bei erfolgreicher Anmeldung eines Benutzers ausgestellt wird. Das TGT wird dann verwendet, um Ticket Granting Service (TGS)-Tickets für den Zugriff auf verschiedene Netzwerkdienste anzufordern. Diese Dienste werden durch ihre Service Principal Names (SPNs) identifiziert. Es handelt sich um ein auf Sicherheit ausgelegtes System, doch seine Architektur öffnet unbeabsichtigt Tür und Tor für Ausnutzung.

Der Angriffsvektor

Kerberoasting nutzt die Tatsache aus, dass jeder authentifizierte Benutzer innerhalb einer Domäne TGS-Tickets für jeden unter einem SPN definierten Dienst anfordern kann. Indem sich ein Angreifer als legitimer Benutzer ausgibt, fordert er TGS-Tickets für Dienste an, die mit dem Kennwort des Dienstkontos verschlüsselt sind. Dieser Angriff beruht auf der Fähigkeit des Angreifers, diese verschlüsselten Tickets offline zu nehmen und zu versuchen, sie zu knacken, um das Kennwort des Dienstkontos offenzulegen.

Dieser Prozess umfasst die folgenden Schritte:

  1. Scannen nach Dienstkonten: Angreifer scannen das AD nach Benutzerkonten mit zugehörigen SPNs, die Dienstkonten angeben.
  2. Anfordern von TGS-Tickets: Mit den Anmeldeinformationen eines legitimen Benutzers fordern Angreifer TGS-Tickets vom AD-Domänencontroller für diese identifizierten Dienstkonten an.
  3. Extrahieren und Knacken der Tickets: Der Angreifer extrahiert dann den verschlüsselten Teil der TGS-Tickets und nutzt Offline-Brute-Force- oder Passwort-Cracking-Tools, um das Passwort des Dienstkontos herauszufinden.

Warum es effektiv ist

Kerberoasting ist besonders effektiv, da es mit Standardbenutzerberechtigungen durchgeführt werden kann und keine Warnmeldungen auslöst, die mit anderen Angriffsformen in Verbindung gebracht werden könnten, wie etwa direkten Brute-Force-Versuchen, Passwörter gegen das Netzwerk zu knacken. Darüber hinaus entgeht der Offline-Charakter des Passwort-Cracking-Versuchs den Erkennungsmechanismen, die Netzwerke normalerweise einsetzen, um verdächtige Aktivitäten zu identifizieren, wie etwa mehrere fehlgeschlagene Anmeldeversuche.

Dieser Angriff verdeutlicht eine kritische Schwachstelle in der Implementierung des Kerberos-Protokolls in Windows AD-Umgebungen – die Abhängigkeit von der Geheimhaltung und Stärke von Dienstkontokennwörtern. Aufgrund der stillen und heimlichen Natur von Kerberoasting stellt es eine erhebliche Bedrohung für Unternehmen dar und ermöglicht es Angreifern, Zugriff auf sensible Dienste und Daten zu erhalten.

Die Bedrohungslandschaft

In Unternehmensnetzwerken sind Kerberoasting-Angriffe weit verbreitet und erfolgreich, was eine kritische Schwachstelle in der Cybersicherheit darstellt. Während Angreifer ihre Methoden verfeinern, bleibt Kerberoasting aufgrund seiner Kombination aus Heimlichkeit und Effektivität ein attraktiver Exploit. Es ist wichtig zu verstehen, wie diese Bedrohung funktioniert, um Abwehrmaßnahmen zu entwickeln, die ihrer Komplexität standhalten können.

Prävalenz von Kerberoasting-Angriffen

Kerberoasting ist zu einer gängigen Angriffsmethode geworden, teilweise aufgrund der Allgegenwärtigkeit von Windows Active Directory (AD) in Unternehmensumgebungen und die relative Einfachheit der Angriffsausführung. Tools wie das Invoke-Kerberoast-Modul von PowerSploit oder Rubeus machen diese Angriffe auch für technisch weniger versierte Angreifer zugänglich. Vorfälle aus der Praxis, darunter bemerkenswerte Verstöße, die staatlich geförderten Akteuren und kriminellen Gruppen zugeschrieben werden, verdeutlichen die anhaltende Bedrohung durch Kerberoasting.

Faktoren, die zum Erfolg von Kerberoasting beitragen

  • Richtlinien für schwache Passwörter: Dienstkonten haben oft schwache oder Standardpasswörter, die selten geändert werden, was sie zu erstklassigen Zielen für Kerberoasting macht.
  • Mangelnde Sichtbarkeit und Überwachung: Vielen Unternehmen fehlt die nötige Transparenz in ihrer AD-Umgebung, um die ersten Anzeichen eines Kerberoasting-Angriffs zu erkennen.
  • Fehlkonfiguration und überprivilegierte Konten: Falsch konfigurierte Dienstkonten und solche mit unnötigen Berechtigungen erweitern das Angriffsfläche für Kerberoasting.
  • Heimlichkeit: Kerberoasting-Angriffe sind schwer zu erkennen, da sie keine erhöhten Berechtigungen erfordern und ausgeführt werden können, ohne dass mehrere fehlgeschlagene Authentifizierungsversuche ausgelöst werden, auf die üblicherweise überwacht wird.

Beispiele für Kerberoasting-Angriffe

Kerberoasting-Angriffe gehören zu den ausgefeiltesten Cyber-Angriffen, die in den letzten Jahren beobachtet wurden, und zeigen, wie hoch die Risiken sind, wenn Unternehmen es versäumen, ihre Angriffe abzusichern Active Directory (AD-)Umgebungen ausreichend.

Operation Wocao

In einem bemerkenswerten Beispiel nutzten die Bedrohungsakteure hinter Operation Wocao das Invoke-Kerberoast-Modul des PowerSploit-Frameworks, um Kerberoasting-Angriffe durchzuführen. Bei dieser Operation wurde die Fähigkeit der Angreifer unter Beweis gestellt, verschlüsselte Diensttickets anzufordern und anschließend die Passwörter von Windows-Dienstkonten offline zu knacken.

Die gehackten Konten wurden dann verwendet seitliche Bewegung innerhalb von Netzwerken, was eine weitere Ausbeutung und den Zugriff auf sensible Informationen ermöglicht. Dieser Vorfall unterstreicht die Wirksamkeit von Kerberoasting in APT-Kampagnen (Advanced Persistent Threat) und unterstreicht, wie wichtig es ist, Dienstkonten vor solchen Angriffen zu schützen​ (MITRE ATT & CK).

SolarWinds-Kompromiss

Ein weiterer bedeutender Fall betraf die SolarWinds-Verstoß, bei dem Angreifer unter anderem Kerberoasting nutzten, um Zugriff auf Netzwerke zu erhalten. In diesem Fall erhielten Angreifer Ticket Granting Service (TGS)-Tickets für Active Directory Service Principal Names (SPNs) entdeckt und offline geknackt, um ihre Zugriffsrechte zu erweitern.

Dieser Kompromiss verdeutlichte nicht nur die Anfälligkeit von Dienstkonten für Kerberoasting, sondern auch das Potenzial weitreichender Auswirkungen, da der Verstoß zahlreiche hochkarätige Organisationen und Regierungsbehörden betraf (MITRE ATT & CK).

Der Einsatz von Kerberoasting durch Wizard Spider

Die als Wizard Spider bekannte kriminelle Gruppe soll Kerberoasting als Teil ihres Arsenals nutzen. Sie nutzten Tools wie Rubeus und Mimikatz, um AES-Hashes und Service-Account-Anmeldeinformationen durch Kerberoasting zu stehlen. Diese Technik ermöglichte es ihnen, Zugriff und Kontrolle über kompromittierte Netzwerke aufrechtzuerhalten und erleichterte die Bereitstellung von Ransomware und andere bösartige Payloads. Die Aktivitäten von Wizard Spider sind ein Beispiel für die kriminelle Ausnutzung von Kerberoasting und unterstreichen das Risiko für Organisationen aller Branchen​ (MITRE ATT & CK).

Diese Beispiele von Kerberoasting-Angriffen veranschaulichen die dringende Notwendigkeit für Unternehmen, ihre AD-Umgebungen aktiv zu überwachen und zu sichern. Die Raffinesse und Vielfalt der Angreifer, die diese Technik nutzen – von staatlich geförderten APT-Gruppen bis hin zu kriminellen Kollektiven – unterstreichen die Bedeutung robuster Sicherheitsmaßnahmen, einschließlich strenger Passwortrichtlinien, regelmäßiger Überprüfung von Dienstkonten und der Implementierung von Erkennungsmechanismen zur Identifizierung verdächtiger Aktivitäten, die auf Hinweise hinweisen von Kerberoasting-Versuchen.

Kerberoasting erkennen und verhindern

Um Kerberoasting zu erkennen und zu verhindern, bei dem legitime Funktionen des Kerberos-Authentifizierungsprotokolls für böswillige Zwecke ausgenutzt werden, ist ein vielschichtiger Ansatz erforderlich.

Organisationen können ihre Anfälligkeit für Kerberoasting durch strategische Planung, robuste Sicherheitsprotokolle und kontinuierliche Überwachung erheblich reduzieren.

Best Practices für die Prävention

  • Nutzen Sie identitätsbasierte Lösungen Keine Vertrauenssicherheit Richtlinien: Durch die Implementierung eines Zero-Trust-Sicherheitsmodells können Sie sicherstellen, dass keiner Entität im Netzwerk standardmäßig vertraut wird, unabhängig von ihrem Standort innerhalb des Perimeter. Dieses Prinzip gilt sowohl für menschliche Benutzer als auch für Dienstkonten. Indem Sie bei jedem Zugriffsversuch eine Überprüfung verlangen, können Sie die Angriffsfläche für Angreifer verringern, einschließlich derer, die Kerberoasting versuchen.
  • Implementieren Sie Richtlinien für sichere Passwörter: Erzwingen Sie komplexe, lange (idealerweise 25+ Zeichen) und regelmäßig geänderte Passwörter für alle Konten, insbesondere für Dienstkonten mit Service Principal Names (SPNs). Der Einsatz von Tools wie Passwort-Managern und Group Managed Service Accounts (gMSAs) kann dazu beitragen, eine starke Passworthygiene aufrechtzuerhalten, ohne die betriebliche Effizienz zu beeinträchtigen.
  • Ermöglichen Multi-Faktor-Authentifizierung (MFA): Durch das Hinzufügen einer zusätzlichen Sicherheitsebene durch MFA kann das Risiko eines unbefugten Zugriffs erheblich verringert werden, selbst wenn die Anmeldeinformationen des Dienstkontos kompromittiert werden. MFA sollte für alle Benutzerkonten Standard sein, nicht nur für diejenigen mit erhöhten Berechtigungen.
  • Halten Sie sich an das Prinzip von Am wenigsten Privileg (PoLP): Stellen Sie sicher, dass Konten, insbesondere Dienstkonten, nur über die für ihre Funktionen erforderlichen Berechtigungen verfügen. Durch die Einschränkung der Zugriffsrechte wird der potenzielle Schaden minimiert, den ein Angreifer anrichten kann, wenn er ein Konto kompromittiert.
  • Entwickeln Sie eine umfassende Identitätssicherheitsstrategie: Ein robustes Identitäts- und Zugriffsverwaltung Das Framework kann vor verschiedenen Bedrohungen schützen, einschließlich Kerberoasting. Diese Strategie sollte regelmäßige Prüfungen der Dienstkonten umfassen, privilegierte Zugriffsverwaltung (PAM) und die Einführung von Sicherheitslösungen, die Transparenz und Kontrolle über die Kontonutzung ermöglichen.

Techniken zur Erkennung von Kerberoasting

  • Überwachen Sie auf ungewöhnliche Kerberos-Aktivitäten: Implementieren Sie Protokollierung und Überwachung, um ungewöhnliche Muster von Kerberos-Authentifizierungsanfragen zu erkennen, wie z. B. ein hohes Volumen an TGS-Anfragen für SPNs innerhalb eines kurzen Zeitrahmens.
  • Nutzung des Audit-Service-Kontos: Überprüfen Sie die Aktivität Ihres Dienstkontos regelmäßig auf Anzeichen einer unbefugten Nutzung, z. B. Zugriff auf Dienste oder Daten außerhalb des normalen Musters. Diese Überprüfung kann bei der Identifizierung helfen kompromittierte Konten bevor sie für laterale Bewegungen oder Datenexfiltration verwendet werden.
  • Nutzen Sie erweiterte Sicherheitsanalysen: Der Einsatz von maschinellem Lernen und Verhaltensanalysen kann dabei helfen, subtile Anzeichen von Kerberoasting zu erkennen und zwischen legitimer Nutzung von Dienstkonten und potenziell böswilliger Aktivität zu unterscheiden.