NEUE Semperis-Studie zeigt, dass die Mehrheit der Ransomware-Angriffe weiterhin während der Feiertage und an Wochenenden stattfindet
Verteidigen Sie sich gegen identitätsbasierte Bedrohungen

Katalog der Identitätsbedrohungen

Erfahren Sie mehr über gängige Identitätsbedrohungen, wie Sie diese erkennen und wie Sie Ihre AD-Umgebung gegen Angriffe verteidigen können.

Was sind die häufigsten Arten von identitätsbasierten Angriffen?

Die Cybersecurity-Agenturen der Five Eyes Allianz, darunter die CISA und die NSA, haben Organisationen dringend aufgefordert, die Sicherheit rund um Microsoft Active Directory (AD), einem Hauptziel für Cyberangreifer, zu verstärken. Aufgrund seiner weiten Verbreitung und Komplexität ist AD besonders anfällig für Cyber-Bedrohungen - vor allem für identitätsbasierte Angriffe und Taktiken, die hier besprochen werden.

AdminSDHolder-Änderung

Die Änderung von AdminSDHolder ist eine Technik, mit der Angreifer die Kontrolle über hochprivilegierte Konten in Active Directory behalten. Durch die Änderung spezieller Sicherheitseinstellungen, die auf diese Konten angewendet werden, können Angreifer verhindern, dass Admins den Zugriff auf diese Konten aufheben.

AS-REP Röstung

AS-REP Roasting ist eine Methode, mit der Angreifer Passwörter in einem System stehlen, indem sie verschlüsselte Anmeldeinformationen anfordern, die leichter zu knacken sind. Diese Taktik zielt auf Konten ab, die bei der Anmeldung keine zusätzlichen Sicherheitsüberprüfungen erfordern.

DCShadow

DCShadow ist eine Angriffstechnik, die es Angreifern ermöglicht, einen betrügerischen Domänencontroller in Active Directory zu registrieren. Die Angreifer können dann unautorisierte Änderungen direkt an der AD-Datenbank vornehmen, ohne entdeckt zu werden.

DCSync

Bei einem DCSync-Angriff verwenden Angreifer bestimmte Berechtigungen, um einen Domänencontroller dazu zu bringen, Passwort-Hashes und andere sensible Daten aus Active Directory freizugeben.

Goldenes SAML/Silbernes SAML

Ein Golden SAML-Angriff ist eine Technik, bei der ein Angreifer SAML-Authentifizierungsantworten fälscht, um unbefugten Zugriff auf Anwendungen - oft mit hohen Privilegien - zu erhalten, ohne dass legitime Anmeldedaten oder eine direkte Interaktion mit dem Identitätsanbieter erforderlich sind. Bei einem Silver SAML-Angriff fälschen Bedrohungsakteure SAML-Authentifizierungsantworten eines Cloud-Identitätsanbieters wie Microsoft Entra ID und ermöglichen so unbefugten Zugriff auf Anwendungen, die diesem Anbieter vertrauen, auch ohne Benutzeranmeldeinformationen oder Multi-Faktor-Authentifizierung.

Goldenes Ticket

Bei einem Golden-Ticket-Angriff erlangt ein Angreifer die Kontrolle über eine Schlüsselverschlüsselungskomponente (das KRBTGT-Konto) in einer Windows-Domäne, die es dem Angreifer ermöglicht, gültige Kerberos-Tickets zu erstellen. Mit diesen gefälschten Tickets kann sich der Angreifer als beliebiger Benutzer ausgeben, einschließlich Domänenadministratoren, und für einen längeren Zeitraum unbegrenzten Zugriff auf die gesamte Domäne erhalten.

Goldene gMSA

Bei einem Golden gMSA-Angriff geben Bedrohungsakteure KDS-Root-Schlüsselattribute aus, um die Passwörter von Group Managed Service Accounts (gMSAs) zu generieren und auszunutzen, die zur Ausführung von Diensten mit verwalteten Anmeldeinformationen verwendet werden.

Kerberoasting

Kerberoasting ist ein Angriff, bei dem Angreifer Diensttickets für Konten anfordern, die Dienste in einer Windows-Domäne ausführen. Diese Tickets sind mit dem Kennwort-Hash des Dienstkontos verschlüsselt. Angreifer können dann versuchen, den Hash offline zu knacken, um das Kennwort des Dienstkontos zu erhalten.

LDAP Erkundung

LDAP Reconnaissance ist eine Technik, mit der Angreifer das LDAP-Protokoll abfragen, um Informationen über Benutzer, Gruppen, Computer und Berechtigungen in einer Active Directory-Umgebung zu sammeln.

NTDS.dit Extraktion

Wenn Angreifer die Datei NTDS.dit kopieren, stehlen sie die Active Directory-Datenbank, die alle Informationen zu den Benutzerkonten enthält, einschließlich der Kennwort-Hashes. Mit dieser Datei können Angreifer sensible Daten extrahieren, wie z.B. die Kennwörter aller Konten in der Domäne.

Pass the Hash

Bei einem Pass the Hash-Angriff verwenden Bedrohungsakteure einen gestohlenen Passwort-Hash, um sich als der kompromittierte Benutzer zu authentifizieren und auf Systeme zuzugreifen.

Geben Sie das Ticket weiter

Bei einem Pass the Ticket-Angriff verwenden Bedrohungsakteure ein gestohlenes Kerberos-Ticket, um sich als Benutzer zu authentifizieren, ohne dass sie das Passwort benötigen.

Passwort sprühen

Bei einem Password Spraying-Angriff versuchen die Angreifer, gemeinsame Kennwörter für viele Konten zu verwenden, anstatt sich auf ein Konto zu konzentrieren. Diese Taktik verringert die Wahrscheinlichkeit von Kontosperrungen, wenn die Angreifer versuchen, sich Zugang zu verschaffen und ihre Privilegien zu erweitern.

Klartext-Passwort-Extraktion/GPP-Missbrauch

Der Missbrauch von Group Policy Preferences (GPP) ist ein Paradebeispiel für die Extraktion von Klartextkennwörtern. In älteren Versionen von GPP konnten Administratoren lokale Konten oder Dienste mit Kennwörtern konfigurieren, die in XML-Dateien gespeichert wurden, aus denen sie relativ leicht entschlüsselt werden konnten. Außerdem konnten in GPP festgelegte Passwörter für mehrere Mitgliedsserver und Arbeitsstationen gelten.

Silbernes Ticket

Bei einem Silver Ticket-Angriff fälschen Angreifer Kerberos-Service-Tickets für bestimmte Dienste wie Dateifreigaben oder Webanwendungen, nachdem sie die Anmeldedaten des Dienstkontos kompromittiert haben.

Zerologon Exploit

Zerologon ist eine kritische Sicherheitslücke (CVE-2020-1472) im Netlogon-Authentifizierungsprotokoll, die es Angreifern ermöglicht, sich als ein beliebiger Computer auszugeben, einschließlich eines Domänencontrollers.

Mehr Erkenntnisse über Bedrohungen

Die Experten für Identitätssicherheit von Semperis helfen Ihnen, vor identitätsbasierten Angriffen wachsam zu bleiben.

Ein neuer App-Angriff auf die Einwilligung: Versteckte Einverständniserklärung

Ein neuer App-Angriff auf die Einwilligung: Versteckte Einverständniserklärung

  • Blog
Wie Sie sich gegen eine Pass the Ticket-Attacke verteidigen: AD-Sicherheit 101

Wie Sie sich gegen eine Pass the Ticket-Attacke verteidigen: AD-Sicherheit 101

  • Blog
Wie man sich gegen einen NTLM-Relay-Angriff verteidigt

Wie man sich gegen einen NTLM-Relay-Angriff verteidigt

  • Blog
So verteidigen Sie sich gegen einen Overpass the Hash-Angriff

So verteidigen Sie sich gegen einen Overpass the Hash-Angriff

  • Blog
Weiter lesen

Prüfen Sie Ihre Umgebung auf Identitätsbedrohungen

Purple Knight

Forest Druid

Forest Druid

Risikobewertung

AD-Sicherheitsbewertung

Entra ID Sicherheitsbewertung