Kerberos-Angriffe: Wie lassen sich Golden Tickets stoppen?

golden

Der Golden Ticket-Angriff, den der Sicherheitsforscher Benjamin Delpy entdeckt hat, verschafft dem Angreifer umfassenden und vollständigen Zugriff auf Ihre gesamte Domain. Es entspricht einer goldenen Eintrittskarte (genau wie bei Willy Wonka) zu ALLEN Computern, Dateien, Ordnern und – am wichtigsten – Domain-Controllern (DC) in Ihrem Unternehmen.

Es gibt einige Beispiele, in denen ein Angreifer möglicherweise jahrelang ein Golden Ticket hatte: In diesen Fällen lässt sich gar nicht beurteilen, was die Angreifer alles stehlen konnten. Sie erlangten Zugang über den PC eines einzigen Benutzers, installierten Mimikatz und die Geschichte nahm ihren Lauf.

Wie funktioniert ein Golden Ticket-Angriff?

Im Active Directory melden sich Konten mit einem Benutzernamen und Passwort an, manchmal auch mit einer anderen Authentifizierungsmethode, und erhalten im Gegenzug ein Kerberos-Ticket mit ihrem Authentifizierungstoken.

Das Golden Ticket ist das Kerberos-Authentifizierungstoken des KRBTGT-Kontos, eines besonderen, verborgenen Kontos mit der Aufgabe, alle Authentifizierungstokens für den DC zu verschlüsseln. Das Golden Ticket kann dann eine Pass-the-Hash-Technik einsetzen, um sich in jedem Konto anzumelden, wodurch Angreifer sich unbemerkt durch das Netzwerk bewegen können. Wie viele sensible Daten haben Sie im Netzwerk, die „gesperrt“ sind? Sind sie auch für einen Benutzer gesperrt, der die Berechtigungen eines Domain-Administrators hat?

Um das Golden Ticket zu erstellen und zu nutzen, muss der Angreifer einen Zugang in das Netzwerk finden:

  1. Er infiziert den angegriffenen Computer mit Malware, über die er Benutzerkonten für den Zugriff auf andere Netzwerkressourcen erhält (häufig über eine Phishing-E-Mail oder eine andere Sicherheitslücke).
  2. Er verschafft sich Zugang zu einem Konto mit erweiterten Berechtigungen und Zugriff auf die Domain-Controller (DC).
  3. Er meldet sich beim DC an und dumpt den Passwort-Hash für das KRBTGT-Konto, um das Golden Ticket zu erstellen. Um den Passwort-Hash zu dumpen, benutzt der Angreifer Mimikatz oder eine vergleichbare Hacking-Anwendung.
  4. Er lädt das Kerberos-Token in jede beliebige Sitzung eines beliebigen Benutzers und kann auf jeden Bestandteil des Netzwerks zugreifen – wieder unter Nutzung der Mimikatz-Anwendung.

Der Golden Ticket-Angriff ist wirklich clever – aber auch anspruchsvoll in der Umsetzung.

How does a Golden Ticket Attack Work

Der hinterhältigste Aspekt an diesem Angriff ist die Tatsache, dass das Authentifizierungstoken selbst dann gültig bleibt, wenn Sie das Passwort für das KRBTGT-Konto ändern. Auch nach einem Rebuild des DC bleibt das Authentifizierungstoken weiter nutzbar.

Wenn das Golden Ticket erst einmal für Ihre Domain erstellt wurde, ist eine Bereinigung unglaublich schwierig.

Wie schützen Sie sich vor einem Golden Ticket-Angriff?

Die gute Nachricht ist: Sich vor einem Golden Ticket-Angriff zu schützen, unterscheidet sich nicht besonders vom Schutz vor anderen Malware- oder Infiltrationsangriffen. Letztendlich benötigt der Angreifer zunächst einen privilegierten Zugriff, um das Golden Ticket erstellen zu können. Je schwieriger es also ist, Anmeldeinformationen zu stehlen, desto sicherer sind Sie.

  • Schulen Sie die Benutzer, schädliche Links zu erkennen (und nicht auf sie zu klicken).
  • Setzen Sie ein Privilegienmodell auf Basis der minimalen Rechtevergabedurch.
    • Beschränken Sie den Zugriff der Benutzer auf die Daten, die sie wirklich benötigen.
    • Schränken Sie die Zugriffsberechtigungen von Admin-Konten und Domain-Administratoren ein.
    • Setzen Sie Admin-Konten nur sparsam und nur für genehmigte Veränderungen ein.
  • Installieren Sie Endpoint-Schutzvorkehrungen, um Angreifer am Laden von Modulen wie Mimikatz zu hindern.
  • Erstellen Sie als zusätzliche Schutzebene Choke-Points für den Zugriff auf Ihre DCs.
    • Legen Sie einen Terminal-Server an, der nur mit den DCs kommunizieren kann.
    • Konfigurieren Sie die DCs so, dass sie Admin-Verbindungen ausschließlich von diesem Terminal-Server annehmen.
  • Überwachen Sie Dateiaktivitäten und Benutzerverhalten.
  • Richten Sie Benachrichtigung bei Verhalten ein, das auf einen Golden Ticket-Angriff hinweist.

Wie Varonis Ihnen helfen kann, Golden Ticket-Angriffe zu erkennen und zu stoppen

Varonis nutzt Sicherheitsanalysen, um Sicherheitslücken sowie potenzielle Angriffe zu entdecken und zu melden. Unsere Bedrohungsmodelle werden von Grund auf darauf ausgelegt, Aktivitäten und potenzielle Angriffe auf allen Ebenen der Kill Chain zu erkennen.

Der Angreifer muss als erstes ein Benutzerkonto mithilfe einer Malware infiltrieren, die ihm über ein Command-and-Control-Netzwerk Zugriff auf den PC verschafft. Varonis analysiert die Perimetertelemetrie und korreliert diese Daten mit den in den Directory-Diensten gesammelten Daten. In diesem Fall würden wir den Versuch erkennen, sich von einer zuvor unbekannten IP-Adresse an einem fremden Standort in einem Benutzerkonto anzumelden. Ein Sicherheitsteam hätte reichlich Zeit, den RAT vom Computer des Benutzers zu entfernen und das Benutzerpasswort zu ändern – lange bevor der Angreifer Gelegenheit hätte, sich einen Brückenkopf in Ihrem Unternehmen anzulegen.

Bedrohungsmodell: Abnormales Verhalten: Aktivität von einem neuen Geostandort des Unternehmens
Funktionsweise: Dieses Bedrohungsmodell wird von jeder Aktivität, die außerhalb der bekannten Geostandorte durchgeführt wird, ausgelöst.
Bedeutung: Es wurde der Versuch unternommen, von einem neuen Geostandort aus über das VPN in das Netzwerk einzudringen.
Wirkungsorte: VPN

Wenn der Angreifer bereits ins Netzwerk eingedrungen ist, besteht eine seiner Optionen darin, ein privilegiertes Konto mit einem Brute-Force-Angriff zu übernehmen, den Varonis mit diesem Bedrohungsmodell erkennen kann:

Bedrohungsmodell: Abnormales Admin-Verhalten: Kumulativer Anstieg der Zugangssperren für einzelne Admin-Konten
Funktionsweise: DatAlert erkennt statistisch signifikante Zunahmen der Sperrereignisse – und erkennt, wenn bei einem Admin-Konto eine ungewöhnliche Anzahl von Sperrereignissen im Vergleich zum typischen Verhalten auftritt.
Bedeutung: Das Konto versucht sich wiederholt anzumelden, ohne Erfolg zu haben. Ursache könnte ein falsch konfiguriertes Passwort für einen ordnungsgemäßen Benutzer sein, oder es könnte sich um einen Brute-Force-Angriff bzw. den Versuch eines Außenstehenden handeln, das Passwort zu erraten. Dieses Konto ist wahrscheinlich das Ziel eines schleichenden Brute-Force-Angriffs, der darauf abzielt, Admin-Zugangsdaten zu stehlen oder den Zugriff zu sperren.
Wirkungsorte: Directory-Dienste

Wenn ein Angreifer versucht, sich mit Mimikatz ein Golden Ticket zu verschaffen, sendet Varonis diese Benachrichtigung noch während des Versuchs – bevor es zu spät ist:

Bedrohungsmodell: Exploit-Software erstellt oder modifiziert
Funktionsweise: Varonis erkennt einen Vorgang zum Erstellen oder Modifizieren einer Datei, die mit einem Eintrag auf einer Liste bekannter Hacker-Tools übereinstimmt (z. B. Mimikatz).
Bedeutung: Ein Angreifer ist in das Netzwerk eingedrungen und versucht, sich weitere Möglichkeiten für unbemerkte Bewegungen im Netzwerk und den Diebstahl von Daten zu verschaffen.
Wirkungsorte: Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS, Nasuni

Wenn ein Angreifer bereits in das System eingedrungen ist und sich ein Golden Ticket erstellt hat, können Sie ihn entdecken, wenn er dieses Golden Ticket verwendet, um sich in einem Konto mit vollständigen Domain-Zugriffsberechtigungen anzumelden:

Bedrohungsmodell: Potenzieller Pass-the-Ticket-Angriff
Funktionsweise: Varonis erkennt, dass ein Benutzerkonto ohne Authentifizierung auf eine Ressource zugegriffen hat. Es hat also das Kerberos-Protokoll umgangen, möglicherweise durch einen erfolgreichen Golden Ticket-Angriff.
Bedeutung: Ein Angreifer hat einen erfolgreichen Pass-the-Hash-Angriff durchgeführt, möglicherweise mit einem Golden Ticket, und meldet sich gerade mit diesen Anmeldeinformationen an.
Wirkungsorte: Directory-Dienste

Mit dieser Art von Sofortbenachrichtigung können Sie Maßnahmen zum Zurücksetzen aller Passwörter einleiten. Das KRBTGT muss zweimal geändert werden, alle aktuellen Kerberos-Authentifizierungstoken müssen ungültig gemacht werden, und Sie erstellen neue Tokens für Ihre Benutzer. So können Sie die Datenschutzverletzung abwehren und den Zugriff des Angreifers auf Ihr Netzwerk beenden.

Holen Sie sich eine kostenfreie Risikobeurteilung, um sich zu informieren, wie anfällig Sie für Datenschutzverletzungen wie z. B. Golden Ticket-Angriffe sind. Melden Sie sich für eine 1:1-Demonstration an, bei der wir Ihnen vorführen, wie Sie ungewöhnliches Verhalten entdecken, das auf laufende Angriffe hinweist, und wie Sie sich gegen einen Golden Ticket-Angriff schützen.