In dem Roman Charlie und die Schokoladenfabrik von Roald Dahl aus dem Jahr 1964 versteckt der rätselhafte Willy Wonka fünf Goldene Eintrittskarten zwischen den Schokoriegeln seiner Fabrik. Diejenigen, die die Tickets finden, erhalten die Ehre, hinter die Kulissen seiner Firma zu blicken. In der digitalen Welt bieten Goldene Eintrittskarten ebenfalls Zugang, allerdings zu etwas viel Wertvollerem als einer geheimnisvollen Fabrik - der IT-Umgebung Ihres Unternehmens.
Verwandte Lektüre
Ihr Ticket, bitte
Zur kurzen Einführung: Wenn sich ein PC-Client bei einer Domäne authentifiziert, stellt das Kerberos Key Distribution Center (KDC) auf dem authentifizierenden domain controller DC) dem Client ein Ticket Granting Ticket (TGT) zur Verfügung. Dieses TGT ermöglicht es dem Client, beim KDC ein Service-Ticket anzufordern, um auf einen Dienst (beispielsweise einen Dateiserver) zuzugreifen. Das KDC sendet das Dienstticket an den Client, verschlüsselt mit dem Hashwert des Passworts des Dienstkontos. Der Client leitet das Ticket an den Dienst weiter, der es entschlüsselt und dem Client Zugriff auf den Dienst gewährt.
Das krbtgt-Konto fungiert als Dienstkonto für den KDC-Dienst. Mit der Kontrolle über das krbtgt-Konto können Angreifer betrügerische TGTs erstellen, um auf beliebige Ressourcen zuzugreifen. Dieses Szenario ist die Essenz eines Golden-Ticket-Angriffs. Wenn sie erfolgreich durchgeführt werden, können sich die Angreifer als jeder beliebige Benutzer ausgeben. Der Angriff ist schwer zu erkennen und kann von Angreifern genutzt werden, um lange Zeit unter dem Radar zu bleiben.
Um den Angriff auszuführen, muss der Angreifer bereits Zugriff auf ein Konto mit erweiterten Berechtigungen erlangt haben, das Zugriff auf den domain controller gewährt. Jeder domain controller der AD-Umgebung betreibt einen KDC. Sobald der Angreifer Zugriff auf den domain controller hat, kann er ein Tool wie Mimikatz verwenden, um den NTLM-Hash des krbtgt-Kontos zu stehlen.
Mit dem krbtgt-Passwort-Hash in der Hand braucht der Bedrohungsakteur nur noch Folgendes, um eine TGT zu erstellen:
- Vollständig qualifizierter Domänenname (FQDN) der Domäne
- Die Sicherheitskennung (SID) der Domäne
- Den Benutzernamen des Kontos, auf das sie abzielen.
Während TGTs standardmäßig 10 Stunden gültig sind, kann ein Angreifer das TGT für einen beliebigen Zeitraum von bis zu 10 Jahren gültig machen. Aus diesem Grund ist eine Strategie zur Erkennung, Entschärfung und Behebung dieser Angriffe von entscheidender Bedeutung.
Nutzen Sie die grundlegende Sicherheitshygiene zum Schutz vor Golden Ticket-Angriffen
Die Verhinderung von Golden-Ticket-Angriffen beginnt mit grundlegender Sicherheitshygiene. Angreifer können den Angriff nicht starten, ohne zuerst die Umgebung zu kompromittieren. Daher können Unternehmen damit beginnen, eine mehrschichtige Verteidigung zu implementieren, um die Angriffsfläche zu reduzieren und die Eintrittsbarriere zu erhöhen.
- Verhinderung des Diebstahls von Zugangsdaten: Die erste Ebene umfasst die Verhinderung des Diebstahls von Anmeldeinformationen. Die Abwehr von Malware und Phishing-Angriffen zum Diebstahl von Anmeldedaten ist von entscheidender Bedeutung und sollte eine Mischung aus Sicherheitsschulungen für Mitarbeiter sowie Netzwerk- und Endgerätesicherheit umfassen. Wenn Sie gängige Passwörter aus Ihrem Verzeichnis entfernen, indem Sie einen benutzerdefinierten Passwortfilter wie Azure AD Password Protection verwenden, verringert sich die Wahrscheinlichkeit, dass ein Passwort-Spray-Angriff erfolgreich ist. Jede Mimikatz-Aktivität, die nicht vom Red Team Ihres Unternehmens oder einem autorisierten Pen-Tester durchgeführt wird, ist ein klares Zeichen dafür, dass Angreifer angekommen sind.
- Sicherheit für Active Directory: Der nächste Schritt besteht darin, die Schutzmauer um Active Directory selbst zu verstärken. Da ein „Golden-Ticket“-Angriff privilegierten Zugriff auf einen domain controller erfordert, ist die Umsetzung des Prinzips der geringsten Berechtigungen entscheidend für die Sicherheit von Active Directory. AD-Teams sollten die Anzahl der Benutzer- und Dienstkonten mit Zugriff auf Domänencontroller auf ein Minimum beschränken. Konten mit Berechtigungen als Domänenadministrator oder zum „Replizieren von Verzeichnisänderungen“ können dazu genutzt werden, DCSync-Angriffe zu starten, durch die der krbtgt-Hash gestohlen werden kann.
- Suchen Sie nach gefälschten Tickets: Genau wie gefälschte Dollarscheine können gefälschte Tickets entdeckt werden, indem Sie auf ungewöhnliches Benutzerverhalten achten und dann das Ticket auf verräterische Anzeichen untersuchen. So können zum Beispiel Fehler wie die Nichtübereinstimmung von Benutzernamen und relativer ID (RID) oder Änderungen an der Lebensdauer des Tickets auf böswillige Aktivitäten hindeuten. Darüber hinaus ist es wichtig, AD auf ungewöhnliche Aktivitäten zu überwachen, wie z.B. Änderungen der Gruppenmitgliedschaft.
- Seien Sie vorsichtig, wenn Sie das krbtgt-Passwort ändern: Einer der häufigsten Ratschläge zur Abwehr von Golden-Ticket-Angriffen lautet, das krbtgt-Passwort alle 180 Tage zu ändern. Dies sollte nicht leichtfertig geschehen, da dies vorübergehend zu Fehlern bei der Validierung von Privileged Attribute Certificate (PAC) führt. Die beste Methode zur Aktualisierung des Kennworts ist das Studium und die Ausführung des Skripts zum Zurücksetzen des krbtgt-Kontokennworts (dieses Skript wird von Microsoft MVP Jorge de Almeida Pinto zur Verfügung gestellt und ständig aktualisiert), mit dem Unternehmen auch überprüfen können, ob alle beschreibbaren DCs in der Domäne die aus dem neuen Kennwort-Hash abgeleiteten Schlüssel repliziert haben. Die Änderung des krbtgt-Kennworts alle 180 Tage ist eine bewährte Praxis. AD-Teams sollten jedoch auch in Betracht ziehen, es jedes Mal zu ändern, wenn ein Mitarbeiter, der ein Golden Ticket erstellen könnte, das Unternehmen verlässt. Diese Maßnahme verringert das Risiko, dass ein verärgerter ehemaliger Mitarbeiter ein gefälschtes Ticket für böswillige Zwecke verwendet. Es ist wichtig, daran zu denken, dass das Passwort zweimal zurückgesetzt werden muss, wenn ein Golden Ticket-Angriff entdeckt wird, um den Angriff zu entschärfen. Und warum? Weil sich das krbtgt-Konto die beiden vorherigen Passwörter merkt. Das zweimalige Zurücksetzen des Passworts ist also notwendig, um zu verhindern, dass ein anderer DC ein altes Passwort verwendet, um sich mit dem betroffenen DC zu replizieren. Eine Warnung: Wenn Sie das Kennwort zweimal ändern, bevor es sich in der gesamten Umgebung replizieren kann, kann der Netzwerkzugriff gestört werden. Nehmen Sie sich also Zeit und stellen Sie sicher, dass die erste Aktualisierung an alle DCs übertragen wurde.
Aufbau einer soliden Verteidigung gegen Golden Ticket-Angriffe
Die Abwehr und Bewältigung eines „Golden Ticket“-Angriffs ist schwierig. Da diese Angriffe jedoch den Weg für groß angelegten Datendiebstahl und Ransomware ebnen können, ist es von entscheidender Bedeutung, „Golden Ticket“-Angriffe in Ihre incident response zur Active Directory-Wiederherstellung und incident response einzubeziehen.
Stellen Sie sicher, dass das Ausmaß der Aktivitäten der Angreifer festgestellt wurde, bevor Sie die betroffenen Systeme wiederherstellen und die Konten zurücksetzen, damit der Angreifer weiß, dass Sie seine Aktivitäten entdeckt haben. Stellen Sie sicher, dass Sie ein Offline-Backup und idealerweise einen wiederhergestellten, isolierten Forest haben, so dass Sie immer noch über einen funktionsfähigen AD-Forest verfügen, falls der Angreifer die Ransomware-Nutzlast auslöst. Nur wenn Unternehmen den angerichteten Schaden vollständig verstehen, können sie sicher sein, dass sie den Angreifern die Tür verschlossen haben und sie daran hindern, weiter Fuß zu fassen.
