In dem Roman Charlie und die Schokoladenfabrik von Roald Dahl aus dem Jahr 1964 versteckt der rätselhafte Willy Wonka fünf Goldene Eintrittskarten zwischen den Schokoriegeln seiner Fabrik. Diejenigen, die die Tickets finden, erhalten die Ehre, hinter die Kulissen seiner Firma zu blicken. In der digitalen Welt bieten Goldene Eintrittskarten ebenfalls Zugang, allerdings zu etwas viel Wertvollerem als einer geheimnisvollen Fabrik - der IT-Umgebung Ihres Unternehmens.
Verwandte Lektüre
Ihr Ticket, bitte
Als kurze Einführung: Wenn sich ein PC-Client bei einer Domäne authentifiziert, stellt das Kerberos Key Distribution Center (KDC) auf dem authentifizierenden Domänencontroller (DC) dem Client ein Ticket Granting Ticket (TGT) zur Verfügung. Dieses TGT gibt dem Client die Möglichkeit, beim KDC ein Service-Ticket anzufordern, um auf einen Dienst (z.B. einen Dateiserver) zuzugreifen. Das KDC sendet das Service-Ticket an den Client, verschlüsselt mit dem Hash-Wert des Passworts für das Service-Konto. Der Client gibt das Ticket an den Dienst weiter, der es entschlüsselt und dem Client Zugriff auf den Dienst gewährt.
Das krbtgt-Konto fungiert als Dienstkonto für den KDC-Dienst. Mit der Kontrolle über das krbtgt-Konto können Angreifer betrügerische TGTs erstellen, um auf beliebige Ressourcen zuzugreifen. Dieses Szenario ist die Essenz eines Golden-Ticket-Angriffs. Wenn sie erfolgreich durchgeführt werden, können sich die Angreifer als jeder beliebige Benutzer ausgeben. Der Angriff ist schwer zu erkennen und kann von Angreifern genutzt werden, um lange Zeit unter dem Radar zu bleiben.
Um den Angriff zu starten, muss der Angreifer bereits ein Konto mit erhöhten Rechten kompromittiert haben, das auf den Domänencontroller zugreifen kann. Jeder Domänencontroller in der AD-Umgebung führt einen KDC aus. Sobald der Angreifer Zugriff auf den Domänencontroller hat, kann er ein Tool wie Mimikatz verwenden, um den NTLM-Hash des krbtgt-Kontos zu stehlen.
Mit dem krbtgt-Passwort-Hash in der Hand braucht der Bedrohungsakteur nur noch Folgendes, um eine TGT zu erstellen:
- Vollständig qualifizierter Domänenname (FQDN) der Domäne
- Die Sicherheitskennung (SID) der Domäne
- Den Benutzernamen des Kontos, auf das sie abzielen.
Während TGTs standardmäßig 10 Stunden gültig sind, kann ein Angreifer das TGT für einen beliebigen Zeitraum von bis zu 10 Jahren gültig machen. Aus diesem Grund ist eine Strategie zur Erkennung, Entschärfung und Behebung dieser Angriffe von entscheidender Bedeutung.
Nutzen Sie die grundlegende Sicherheitshygiene zum Schutz vor Golden Ticket-Angriffen
Die Verhinderung von Golden-Ticket-Angriffen beginnt mit grundlegender Sicherheitshygiene. Angreifer können den Angriff nicht starten, ohne zuerst die Umgebung zu kompromittieren. Daher können Unternehmen damit beginnen, eine mehrschichtige Verteidigung zu implementieren, um die Angriffsfläche zu reduzieren und die Eintrittsbarriere zu erhöhen.
- Verhinderung des Diebstahls von Zugangsdaten: Die erste Ebene umfasst die Verhinderung des Diebstahls von Anmeldeinformationen. Die Abwehr von Malware und Phishing-Angriffen zum Diebstahl von Anmeldedaten ist von entscheidender Bedeutung und sollte eine Mischung aus Sicherheitsschulungen für Mitarbeiter sowie Netzwerk- und Endgerätesicherheit umfassen. Wenn Sie gängige Passwörter aus Ihrem Verzeichnis entfernen, indem Sie einen benutzerdefinierten Passwortfilter wie Azure AD Password Protection verwenden, verringert sich die Wahrscheinlichkeit, dass ein Passwort-Spray-Angriff erfolgreich ist. Jede Mimikatz-Aktivität, die nicht vom Red Team Ihres Unternehmens oder einem autorisierten Pen-Tester durchgeführt wird, ist ein klares Zeichen dafür, dass Angreifer angekommen sind.
- AD sicher halten: Auf der nächsten Ebene geht es darum, die Burgmauer um AD selbst zu erhöhen. Da ein Golden-Ticket-Angriff privilegierten Zugriff auf einen Domänencontroller erfordert, ist die Umsetzung des Prinzips der geringsten Privilegien entscheidend für die Sicherheit von AD. AD-Teams sollten die Anzahl der Benutzer- und Dienstkonten mit Zugriff auf DCs auf ein Minimum beschränken. Konten mit der Berechtigung "Domänenadministrator" oder "Replizieren von Verzeichnisänderungen" können für DCSync-Angriffe verwendet werden, mit denen der krbtgt-Hash gestohlen werden kann.
- Suchen Sie nach gefälschten Tickets: Genau wie gefälschte Dollarscheine können gefälschte Tickets entdeckt werden, indem Sie auf ungewöhnliches Benutzerverhalten achten und dann das Ticket auf verräterische Anzeichen untersuchen. So können zum Beispiel Fehler wie die Nichtübereinstimmung von Benutzernamen und relativer ID (RID) oder Änderungen an der Lebensdauer des Tickets auf böswillige Aktivitäten hindeuten. Darüber hinaus ist es wichtig, AD auf ungewöhnliche Aktivitäten zu überwachen, wie z.B. Änderungen der Gruppenmitgliedschaft.
- Seien Sie vorsichtig, wenn Sie das krbtgt-Passwort ändern: Einer der häufigsten Ratschläge zur Abwehr von Golden-Ticket-Angriffen lautet, das krbtgt-Passwort alle 180 Tage zu ändern. Dies sollte nicht leichtfertig geschehen, da dies vorübergehend zu Fehlern bei der Validierung von Privileged Attribute Certificate (PAC) führt. Die beste Methode zur Aktualisierung des Kennworts ist das Studium und die Ausführung des Skripts zum Zurücksetzen des krbtgt-Kontokennworts (dieses Skript wird von Microsoft MVP Jorge de Almeida Pinto zur Verfügung gestellt und ständig aktualisiert), mit dem Unternehmen auch überprüfen können, ob alle beschreibbaren DCs in der Domäne die aus dem neuen Kennwort-Hash abgeleiteten Schlüssel repliziert haben. Die Änderung des krbtgt-Kennworts alle 180 Tage ist eine bewährte Praxis. AD-Teams sollten jedoch auch in Betracht ziehen, es jedes Mal zu ändern, wenn ein Mitarbeiter, der ein Golden Ticket erstellen könnte, das Unternehmen verlässt. Diese Maßnahme verringert das Risiko, dass ein verärgerter ehemaliger Mitarbeiter ein gefälschtes Ticket für böswillige Zwecke verwendet. Es ist wichtig, daran zu denken, dass das Passwort zweimal zurückgesetzt werden muss, wenn ein Golden Ticket-Angriff entdeckt wird, um den Angriff zu entschärfen. Und warum? Weil sich das krbtgt-Konto die beiden vorherigen Passwörter merkt. Das zweimalige Zurücksetzen des Passworts ist also notwendig, um zu verhindern, dass ein anderer DC ein altes Passwort verwendet, um sich mit dem betroffenen DC zu replizieren. Eine Warnung: Wenn Sie das Kennwort zweimal ändern, bevor es sich in der gesamten Umgebung replizieren kann, kann der Netzwerkzugriff gestört werden. Nehmen Sie sich also Zeit und stellen Sie sicher, dass die erste Aktualisierung an alle DCs übertragen wurde.
Aufbau einer soliden Verteidigung gegen Golden Ticket-Angriffe
Es ist schwierig, einen Golden-Ticket-Angriff abzuschwächen und auf ihn zu reagieren. Da diese Angriffe jedoch den Weg zu weitreichendem Datendiebstahl und Ransomware ebnen können, ist die Berücksichtigung von Golden-Ticket-Angriffen in Ihren AD-Wiederherstellungs- und Incident-Response-Szenarien unerlässlich.
Stellen Sie sicher, dass das Ausmaß der Aktivitäten der Angreifer festgestellt wurde, bevor Sie die betroffenen Systeme wiederherstellen und die Konten zurücksetzen, damit der Angreifer weiß, dass Sie seine Aktivitäten entdeckt haben. Stellen Sie sicher, dass Sie ein Offline-Backup und idealerweise einen wiederhergestellten, isolierten Forest haben, so dass Sie immer noch über einen funktionsfähigen AD-Forest verfügen, falls der Angreifer die Ransomware-Nutzlast auslöst. Nur wenn Unternehmen den angerichteten Schaden vollständig verstehen, können sie sicher sein, dass sie den Angreifern die Tür verschlossen haben und sie daran hindern, weiter Fuß zu fassen.
