Daniel Petri

Golden Ticket-Angriffe sind besonders raffiniert. Wie Kerberoasting nutzen Golden Ticket-Angriffe das Kerberos-Authentifizierungssystem aus und sind eine der größten Bedrohungen für Active Directory-Umgebungen. Hier finden Sie weitere Informationen über diese Art von Angriffen und wie Sie Ihre Active Directory-Umgebung schützen können.

Was ist ein Angriff auf ein Goldenes Ticket?

Golden Ticket-Angriffe verwenden ein gefälschtes Kerberos Ticket Granting Ticket (TGT), um uneingeschränkten Zugriff auf Dienste oder Ressourcen innerhalb einer Active Directory-Domäne zu erhalten. Im Gegensatz zu Angriffen, bei denen Bedrohungsakteure vorhandene Tickets entschlüsseln, erstellen und verwenden Golden Ticket-Angreifer gefälschte Tickets, um sich als Benutzer im Netzwerk auszugeben.

Dieser Trick ermöglicht es den Angreifern, Kerberos-Service-Tickets für verschiedene Ressourcen zu erhalten. Bedrohungsakteure können diese ungeprüfte Autorität nutzen, um Netzwerksysteme zu infiltrieren und herkömmliche Zugriffs- und Authentifizierungskontrollen zu umgehen.

Bevor wir näher darauf eingehen, wie diese Angriffe funktionieren und wie Sie Active Directory dagegen verteidigen können, sollten Sie sich die Grundlagen der Cybersicherheit ansehen.

Weiterführende Lektüre: Verringern Sie die Angriffsfläche Ihres Active Directory

Was ist Kerberos?

Kerberos ist das Standard-Authentifizierungsprotokoll in Active Directory. Dieses Netzwerk-Authentifizierungsprotokoll verwendet die Kryptographie mit geheimen Schlüsseln und ist entscheidend dafür, dass Benutzer und Dienste einander in einer Netzwerkumgebung vertrauen können. Kerberos verwendet verschiedene Arten von kryptografischen Einheiten, so genannte Tickets, um Benutzer oder Dienste zu authentifizieren, ohne Passwörter über das Netzwerk zu senden. ( Hier erfahren Sie mehr über Kerberos und Kerberos-Tickets).

Wenn die Authentifizierung erfolgreich ist, erteilt das Key Distribution Center (KDC) dem Benutzer ein Ticket Granting Ticket (TGT). TGTs berechtigen Benutzer, Service-Tickets anzufordern, mit denen sie auf Anwendungen wie Dateiserver oder Datenbanken zugreifen können.

Was ist das KRBTGT-Konto?

Das KRBTGT-Konto, ein integriertes Active Directory-Benutzerkonto, spielt eine wichtige Rolle im Kerberos-Authentifizierungsprotokoll. Das Passwort für dieses Konto wird vom System generiert und nicht automatisch geändert.

Das KDC verwendet das KRBTGT-Konto auf jedem Domain Controller (DC), um TGTs mit dem NTLM-Hash dieses Kontos zu verschlüsseln. Wenn ein Benutzer ein Service-Ticket für den Zugriff auf eine Ressource anfordert, verwendet das KDC diesen Hash, um das vorgelegte TGT zu validieren. Mit anderen Worten: Der Passwort-Hash des KRBTGT-Kontos wird verwendet, um alle Kerberos-Tickets in der Domäne zu signieren.

Das KRBTGT-Konto ist für Anmeldezwecke deaktiviert und sollte dies auch bleiben. Das Konto dient nur dazu, die Kerberos-Authentifizierung innerhalb der Active Directory-Domäne zu erleichtern. Schützen Sie das KRBTGT-Konto. Die Kompromittierung des Kontos kann zu schwerwiegenden Sicherheitsverletzungen führen, einschließlich Golden Ticket-Angriffen.

Was ist Mimikatz?

Mimikatz ist ein leistungsstarkes Open-Source-Dienstprogramm, das von Benjamin Delpy entwickelt wurde. Er hat das Tool entwickelt, um mit der Sicherheit von Windows zu experimentieren und um besser zu verstehen, wie Windows-Anmeldeinformationen gespeichert und über das Netzwerk übertragen werden.

Mimikatz wurde jedoch in der Cybersecurity-Community schnell berüchtigt, da es in der Lage war, verschiedene Windows-Sicherheitslücken auszunutzen. Viele dieser Schwachstellen betreffen die Art und Weise, wie Windows mit Authentifizierungs- und Anmeldeinformationen im Speicher umgeht.

Mimikatz ist in der Lage, Klartextpasswörter, Hashes und Kerberos-Tickets aus dem Speicher zu extrahieren. Im Grunde ist das Tool eine zentrale Anlaufstelle für jeden, der die Sicherheitsmaßnahmen von Active Directory kompromittieren möchte. Mimikatz kann Anmeldeinformationen und Authentifizierungstickets direkt aus dem RAM ziehen, wo sie manchmal im Klartext zu finden sind. Mimikatz kann diese Elemente nutzen, um typische Authentifizierungsverfahren zu umgehen und Angreifern weitreichenden Zugriff auf Active Directory zu gewähren.

Mimikatz wird häufig in Post-Exploitation-Szenarien eingesetzt. Sobald Angreifer in Ihrem Netzwerk Fuß gefasst haben, versuchen sie in der Regel, ihre Privilegien zu erweitern oder sich seitlich zu bewegen, um hochwertige Ziele zu finden.

Wie funktionieren die Angriffe auf das Goldene Ticket?

Bei einem Golden Ticket-Angriff verwendet der Angreifer ein Tool wie Mimikatz, um den Passwort-Hash des KRBTGT zu extrahieren. Der Angreifer kann diesen Hash verwenden, um ein gefälschtes Kerberos-TGT zu verschlüsseln und ihm einen beliebigen Zugriff oder eine beliebige Lebensdauer zu geben. Der Angreifer verwendet den Hash, um dem KDC zu "beweisen", dass das Ticket gültig ist. Dieses gefälschte TGT ermöglicht dem Angreifer uneingeschränkten Zugriff auf jeden Dienst oder jede Ressource innerhalb einer Active Directory-Domäne.

Golden Ticket-Angriffe umfassen mehrere komplexe Schritte. Diese Angriffe erfordern Raffinesse und Wissen über das Innenleben von Active Directory und Kerberos-Authentifizierung. Lassen Sie uns die wichtigsten Schritte eines Golden-Ticket-Angriffs erläutern.

  1. Domain-Infiltration. In dieser ersten Phase findet der Angreifer einen Weg in das Netzwerk Ihres Unternehmens. Das primäre Ziel ist es, im Netzwerk Fuß zu fassen. Anschließend kann eine detaillierte Erkundung durchgeführt werden, um die Netzwerktopologie zu verstehen und lukrative Ziele zu identifizieren. Die Infiltration kann durch eine Reihe von Strategien erfolgen, darunter:
    • Ausnutzen bekannter Schwachstellen im System
    • Spear-Phishing-Kampagnen, die auf ahnungslose Mitarbeiter abzielen
  2. Privilegienerweiterung. Nach der Infiltration konzentriert sich der Angreifer auf die Ausweitung seiner Privilegien innerhalb Ihres Netzwerks. Diese Phase umfasst in der Regel eine Reihe von Taktiken, um schrittweise erhöhte Rechte zu erlangen. Das ultimative Ziel ist die Erlangung von Domänenadministrator-Rechten. Diese Rechte öffnen die Tür zum Kern Ihrer Active Directory-Umgebung. Mit Domänenadministrator-Rechten hat der Angreifer die notwendigen Berechtigungen, um sich bei einem DC anzumelden, die Active Directory-Datenbank (NTDS.dit-Datei) ins Visier zu nehmen und leistungsstarke Tools wie Mimikatz einzusetzen, um seine Ziele zu erreichen.
  3. Kompromittierung des KRBTGT-Hashes. An diesem entscheidenden Punkt kompromittiert der Angreifer das KRBTGT-Konto Ihrer Domäne. Mit einem Tool wie Mimikatz, das den KRBTGT-Hash extrahiert, kann ein Angreifer, der über Domänenadministratorrechte verfügt, die Hash-Daten aus dem Systemspeicher oder der AD-Datenbank NTDS.DIT auslesen. Nachdem er den KRBTGT-Hash kompromittiert hat, kann der Angreifer den Authentifizierungsmechanismus zu seinem Vorteil manipulieren.
  4. TGT-Erstellung. Mit dem KRBTGT-Hash in seinem Besitz erstellt der Angreifer TGTs - "Goldene Tickets" - für jedes Benutzerkonto innerhalb der Domäne, einschließlich derjenigen mit administrativen Rechten für die Domäne. Diese TGTs haben gefälschte Anmeldeinformationen, sind aber mit dem legitimen KRBTGT-Hash signiert, so dass sie für den Kerberos-Dienst echt erscheinen. Der Angreifer hat nun praktisch uneingeschränkten Zugriff auf die gesamte Domäne. Er kann sich als ein beliebiger Benutzer ausgeben und günstige Ticketeigenschaften festlegen, einschließlich einer extrem langen Lebensdauer, die die Persistenz in Ihrer Umgebung gewährleistet.
  5. Generierung von Service-Tickets. Die letzte Phase des Golden-Ticket-Angriffs besteht in der Generierung von Service-Tickets aus den gefälschten TGTs. Mit den gefälschten TGTs kann der Angreifer Service-Tickets für jeden in der Domäne verfügbaren Dienst anfordern und so die Notwendigkeit einer weiteren Authentifizierung umgehen. Der Angreifer erhält praktisch einen Freifahrtschein für den unbemerkten Zugriff auf jede Ressource im Netzwerk. Er kann fortlaufend gültige Service-Tickets generieren, die umfangreiche seitliche Bewegungen, Datenexfiltration und eine weitere Verankerung in Ihren Netzwerksystemen ermöglichen.

Wie können Sie sich vor Angriffen auf das Goldene Ticket schützen?

Sie sehen, dass Golden Ticket-Angriffe eine anhaltende und heimliche Bedrohung für Ihr Unternehmen darstellen. Bestimmte Tools und Strategien können Ihnen dabei helfen, diese schädlichen Angriffe zu entschärfen und abzuwehren:

Lassen Sie uns diese Methoden erkunden.

Überwachen Sie anomale Kerberos-Ticket-Aktivitäten

Behalten Sie die Aktivitäten rund um Kerberos-Tickets in Ihrem Netzwerk aufmerksam im Auge. Prüfen Sie regelmäßig die Eigenschaften und Nutzungsmuster dieser Tickets. Auf diese Weise können Sie Unregelmäßigkeiten erkennen, die auf einen Golden-Ticket-Angriff hindeuten könnten. Achten Sie beispielsweise auf Tickets mit ungewöhnlich langer Lebensdauer oder auf Tickets, die unerwartete Privilegien gewähren.

Überprüfen Sie Active Directory und Systemprotokolle

Überprüfen Sie aktiv und routinemäßig Ihr Active Directory und die Systemprotokolle auf verdächtige Aktivitäten wie z. B.:

  • Unerwartete Privilegienerweiterungen
  • Token-Manipulationen
  • LSASS (Local Security Authority Subsystem Service) liest den Speicher

Wenn Sie ungewöhnliche Zugriffe oder Manipulationen an gespeicherten Anmeldedaten erkennen, können Sie Angreifern schon in einem frühen Stadium des Angriffszyklus entgegenwirken.

Einsatz von Sicherheits-Tools für Endgeräte

Endpoint Protection Platforms (EPP) und Endpoint Detection & Response (EDR) Tools identifizieren und blockieren bösartige Tool-Signaturen. Diese Plattformen können auch ungewöhnliches Verhalten erkennen, das auf ein Credential Dumping hinweisen könnte, ein Vorgang, der häufig in der Anfangsphase eines Golden Ticket-Angriffs zu beobachten ist.

Credential Guard implementieren

Credential Guard, eine Funktion in modernen Windows-Systemen, nutzt virtualisierungsbasierte Sicherheit, um sensible Daten zu isolieren. Die Funktion beschränkt den Zugriff auf diese Daten nur auf privilegierte Systemsoftware. Dieser Schritt kann Angreifer erheblich abschrecken, da er sie daran hindert, auf den LSASS-Speicher zuzugreifen, um Anmeldedaten abzurufen.

Verwalten Sie das Passwort für das KRBTGT-Konto

Ändern Sie das Passwort des KRBTGT-Kontos zweimal hintereinander, um die Fähigkeit von Kerberos, sich die letzten beiden Passwörter zu merken, zu umgehen. Dieser Schritt kann dazu beitragen, gestohlene Hashes ungültig zu machen, so dass sie für die Erstellung von Golden Tickets unbrauchbar werden.

Least Privilege durchsetzen

Das Modell der geringsten Privilegien weist Benutzern und Systemen nur minimale Zugriffsrechte oder Berechtigungen zu. Kurz gesagt: Beschränken Sie die Rechte auf das, was für Benutzer oder Systeme unerlässlich ist, um ihre Rolle oder Funktion zu erfüllen. Überwachen Sie die Aktivitäten von privilegierten Konten genau und gehen Sie bei Abweichungen von regelmäßigen Mustern sofort dagegen vor.

Führen Sie fortschrittliche ITDR-Lösungen ein

Lösungen, die Golden-Ticket-Nutzungsmuster erkennen können, beschleunigen die Erkennung von Angriffen. Je früher Sie potenzielle Angriffe erkennen, desto schneller können Sie reagieren und den Schaden begrenzen.

Solche Lösungen verwenden Algorithmen und Mustererkennung, um zu erkennen, wann Goldene Tickets im Netzwerk verwendet werden. Zum Beispiel, Purple Knight und Semperis Directory Services Protector ( DSP) suchen nach Indikatoren für eine Gefährdung (IOEs) und Indikatoren für eine Kompromittierung (IOCs) im Zusammenhang mit der Ausnutzung von Kerberos. Noch besser: DSP kann verdächtige Aktivitäten in Active Directory automatisch zurücksetzen, bis sie überprüft und als legitim eingestuft werden können.

Sichern Sie Active Directory, um Golden-Ticket-Angriffe abzuwehren

Die Dreistigkeit und Effektivität des Golden Ticket-Angriffs sind besorgniserregend. Angreifer können diesen Angriff nicht nur nutzen, um sich Zugang zu Ihrer Umgebung zu verschaffen, sondern auch, um sich selbst in einen Super-User zu verwandeln, der in der Lage ist, das Netzwerk umfassend und unbemerkt zu manipulieren. Sie können auf vertrauliche Daten zugreifen, Benutzerberechtigungen ändern oder bösartige Aufgaben ausführen und dabei den Anschein erwecken, eine legitime Netzwerkeinheit zu sein.

Wenn Sie die einzelnen Schritte eines Golden-Ticket-Angriffs verstehen, können Sie sich besser auf solche Bedrohungen vorbereiten. Die anfängliche Infiltration und die Ausweitung der Privilegien sind die Vorläufer für die verheerenden späteren Phasen des Angriffs. Eine weitere Vorsichtsmaßnahme: Stellen Sie sicher, dass Sie ein spezielles, vom Betriebssystem entkoppeltes Active Directory-Backup unterhalten, um sich gegen die Ausdauer der Malware zu schützen, falls Sie das AD im schlimmsten Fall wiederherstellen müssen.

Unternehmen müssen wachsam sein. Strenge Sicherheitsprotokolle, kontinuierliche Überwachung der Angriffsfläche von Active Directory und Schulungen können Ihren IT- und Sicherheitsteams helfen, die ersten Anzeichen eines Golden Ticket-Angriffs und anderer Kerberos-bezogener Angriffe zu erkennen.