Kerberoasting-Angriffe

Wie Angreifer die Authentifizierung infiltrieren.

InsightIDR-Produkt

Inhaltsübersicht

Was ist Kerberoasting? 

Ein Kerberoasting-Angriff ist eine Möglichkeit für Angreifer, Anmeldeinformationen für Active-Directory-Konten zu erhalten und diese Anmeldeinformationen dann zum Diebstahl von Daten zu nutzen. Der Begriff „Kerberoasting“ ist ein englisches Wortspiel, denn es macht sich Kerberos zunutze, ein Netzwerk-Authentifizierungsprotokoll, das sichere Authentifizierungsanfragen zwischen Clients und Diensten über ein nicht vertrauenswürdiges Netzwerk wie das Internet gewährleisten soll.

Bei einem Kerberoasting-Angriff nutzt ein Bedrohungsakteur die gestohlenen Anmeldeinformationen, um verschlüsselte Nachrichten zu sammeln und sie anschließend offline zu entschlüsseln. Die Erschwerung des Zugangs für Bedrohungsakteure, d.h. die Erhöhung der Privilegien, ist eine Möglichkeit, einen Kerberoasting-Angriff abzuwehren. Allerdings braucht ein Angreifer nur das Konto eines Benutzers zu kompromittieren, um sich Zugriff auf Zugangsdaten zu verschaffen.

Warum sind Kerberoasting-Angriffe weit verbreitet? 

Kerberoasting-Angriffe sind weit verbreitet, da der Zugriff einem Benutzer gewährt wird, der vom System als legitim angesehen wird. Da die Entdeckung kompromittierter oder gestohlener Zugangsdaten eine gewisse Zeit in Anspruch nimmt, hat eine Person oder Gruppe umso mehr Zeit, sich als legitimer Benutzer des Netzwerks auszugeben und nach Belieben auf Daten zuzugreifen oder sie zu stehlen.

Die Cybersecurity Infrastructure and Security Agency (CISA) der US-Regierung hat festgestellt, dass Kerberoasting eine der zeitsparendsten Methoden ist, um Privilegien zu erhöhen und sich seitlich und unkontrolliert in einem Netzwerk zu bewegen.

Wie funktionieren Kerberoasting-Angriffe? 

Kerberoasting-Angriffe funktionieren, indem sie das Kerberos-Authentifizierungsprotokoll nutzen, um: 

  • Active Directory (AD) nach Benutzern mit einem Service Principal Name (SPN) zu scannen – einer eindeutigen Kennung, die hilft, diesen Benutzer bei einem bestimmten Konto zu authentifizieren
  • Service-Tickets von AD für Konten mit SPNs anzufordern
  • Tickets zu extrahieren und Sie sie lokal/offline zu speichern
  • Diese Tickets offline zu entschlüsseln, mit dem Ziel, Passwortinformationen zu erhalten
  • Abgerufene Passwörter und Anmeldeinformationen zu verwenden, um sich bei anderen Netzwerkdiensten zu authentifizieren
  • Sich eine Zeit lang seitlich und unkontrolliert durch das Netzwerk zu bewegen, um wichtige Daten zu stehlen

Für Kerberoasting-Angriffe sind weder ein Administratorkonto noch erhöhte Berechtigungen erforderlich. Was diese Art von Angriff besonders attraktiv macht, ist die Tatsache, dass jedes beliebige Benutzerkonto der jeweiligen Domain verwendet werden kann, da alle Konten Service-Tickets vom Ticket Granting Server (TGS) anfordern können.

Sobald ein Angreifer Zugriff auf das Konto eines Benutzers hat, kann er sich in der Regel bei jeder Workstation in dieser Domain anmelden – insbesondere bei solchen, auf denen Dienste ausgeführt werden, für die Dienstkonten mit Kerberos-Funktionalität erforderlich sind.

Nachfolgende Aktionen wie Seitwärtsbewegungen und Exfiltration können direkt vor der Nase der gesamten Sicherheitsorganisation und des Unternehmens stattfinden, wenn ein Angreifer sich als jemand mit erhöhten Privilegien ausgibt. Tatsächlich könnte die erhöhte Natur einer solchen Identitätsannahme das Unternehmen extrem haftbar machen, selbst wenn der Angreifer in relativ kurzer Zeit gefasst wird.

Eine unkontrollierte Ausbreitung im Netzwerk kann für jedes Unternehmen erschreckend sein, weshalb Sicherheitstools, die dieses subtil bösartige und riskante Verhalten früher erkennen, wichtiger denn je sind.

Beispiel für einen Kerberoasting-Angriff

Es gibt viele verschiedene Ausführungen von Kerberoasting-Angriffen. Schauen wir uns also das Innenleben einer bestimmten Ausführung genauer an: 

  • Der Bedrohungsakteur führt eine Aufklärung durch, um Konten zu finden, auf die er Zugriff erhalten möchte.
  • Der Bedrohungsakteur wird dann Tickets von der TGS anfordern, um Passwortdaten zu exfiltrieren. 
  • Als nächstes kann der Bedrohungsakteur etwas ruhiger vorgehen, da dieser Teil offline stattfindet: die Passwort-Entschlüsselung. 
  • Sobald der Bedrohungsakteur die gewünschten Passwörter/Zugangsdaten erhalten hat, kann er sich bei fast jedem System oder jeder Ressource in einem Netzwerk authentifizieren, auf das der TGS zugreifen kann, und die Kommunikation einleiten. 
  • Nach der Authentifizierung kann der Bedrohungsakteur Daten kompromittieren und sich im Netzwerk ausbreiten, bis er entdeckt wird – falls er entdeckt wird.

Laut CISA ist Kerberoasting eine bevorzugte Angriffsmethode der vom russischen Staat geförderten APT-Akteure (Advanced Persistent Threat), wobei die Täter die oben erläuterte Kerberoasting-Angriffsmethode angewendet haben.

Kerberoasting-Angriffe erkennen und verhindern 

Sobald sich ein Angreifer unter einem ordnungsgemäß legitimierten Profil Zugang zu einem Netzwerk verschafft hat, kann er sich theoretisch problemlos in einem Netzwerk bewegen. Auf diese Weise kann es durchaus schwierig sein, böswillige Aktivitäten zu erkennen (vor allem, wenn ständig Fehlmeldungen ausgegeben werden), wenn der Datendiebstahl mit Geschick begangen wird.

Diese hohe Anzahl von Fehlmeldungen ist der Grund, warum die alleinige Orientierung an den MITRE-Empfehlungen eine Herausforderung darstellen kann. Um dies zu verhindern, sollten zusätzliche Maßnahmen ergriffen werden. InsightIDR von Rapid7 kann Sie hierbei wie folgt unterstützen:

  • Verwenden von maschinellem Lernen (ML), um eine Baseline der Benutzeraktivität zu erstellen und atypische Anforderungsmuster zu identifizieren
  • Bereitstellung zusätzlicher Validierungsebenen, um sich auf hochgradig anomale und potenziell bösartige Aktivitäten zu konzentrieren
  • Begrenzung der Alarmierung auf Signale, die am wahrscheinlichsten bösartig sind, mit dem gesamten relevanten Benutzerkontext, um das Ereignis schneller und effektiver untersuchen zu können

Es gibt viele Möglichkeiten, Kerberoasting-Angriffe zu verhindern. Die wichtigste ist jedoch die Gewährleistung einer guten Passworthygiene im gesamten Unternehmen. Es ist wichtig, zufällig generierte Anmeldeinformationen zu verwenden und Konten mit erweiterten Berechtigungen bestmöglich zu sichern. 

So reagieren Sie auf einen Kerberoasting-Angriff

Wenden wir uns nun der angemessenen Reaktion auf einen laufenden Kerberoasting-Angriff zu. Natürlich ist es leicht, sich ein Worst-Case-Szenario vorzustellen, in dem sich der Bedrohungsakteur als eine ordnungsgemäß legitimierte Person ausgibt und viel zu lange Zugang hat und möglicherweise viel zu viele Daten gestohlen hat.

Sobald Sie ein paar Mal tief durchgeatmet haben, können die folgenden Schritte bei der Einleitung einer angemessenen Reaktion helfen:

  • Erwägen Sie, sich an einen Anbieter von Erkennung und Reaktion zu wenden, um Zugang zu erstklassigem Fachwissen für eine schnellere Behebung von Angriffen zu erhalten.
  • Ändern Sie alle Kontoanmeldedaten und aktivieren Sie die Multifaktor-Authentifizierung (MFA) sowie den Least Privilege Access (LPA)
  • Ersetzen Sie Benutzerkonten durch ein Group Managed Service-Konto. 
  • Definieren Sie die allgemeinen Sicherheitsrichtlinieneinstellungen für die Netzwerksicherheit und stellen Sie sicher, dass sie so risikofrei wie möglich sind. 

MFA ist eine relativ einfache Möglichkeit, einen Kerberoasting-Angriff zu vermeiden. Die Anforderung mehrerer Formen der Authentifizierung zwischen mehreren Geräten kann dazu beitragen, die Masse der Angriffsversuche abzuwehren. Aus Unternehmenssicht besteht die Herausforderung darin, die MFA-Software allen Mitarbeitern zur Verfügung zu stellen und zu hoffen, dass sie diese wichtige Praxis zum Schutz des Unternehmens annehmen.

Obwohl diese einfachen Sicherheitsprüfungen zum Allgemeinwissen zu gehören scheinen, gibt es immer noch viele Unternehmen auf der ganzen Welt, in denen es an einer angemessenen Passwort- oder Anmeldehygiene wie MFA mangelt.

Erkenntnisse zum Kerberoasting-Angriff

Es ist enttäuschend und erschreckend, wenn Bedrohungsakteure ein Sicherheitsprotokoll wie Kerberos in ein Tool zum Stehlen von Daten verwandeln können. Das bedeutet jedoch nicht, dass diese Tools aufgegeben werden sollten. So ist Kerberos in der Tat ein wichtiges Tool, um die Sicherheit der Benutzer in einer unsicheren Umgebung zu gewährleisten.

Wie bereits erwähnt, ist die Implementierung eines Erkennungstools, das Bedrohungsakteure frühzeitig ausbremst, eine wirksame Gegenmaßnahme, die dieses wichtige Authentifizierungsprotokoll sicher machen kann. InsightIDR von Rapid7 kann zum Beispiel kontinuierlich die Benutzeraktivitäten erfassen, sodass verdächtige Aktivitäten einfacher und schneller erkannt werden.

Es kann auch externe Bedrohungsinformationen nutzen, die für Erkennungen außerhalb des Netzwerkperimeters entscheidend sind. Dies berücksichtigt den nächstgelegenen Netzwerk-Endpunkt zu den Tiefen des Dark-Webs. Unabhängig davon, für welches Produkt oder welche Lösung sich ein Unternehmen zur Abwehr und Bekämpfung von Kerberoasting und APT-Akteuren entscheidet, sollte man bedenken, dass die Infiltration eines Netzwerks unter der Identität eines Mitarbeiters heute einfacher denn je ist.

Wie wird dies normalerweise durchgeführt? Natürlich durch gestohlene Zugangsdaten. Aus diesem Grund ist es so wichtig, das Verhalten von Benutzern und Entitäten kontinuierlich zu analysieren (User and Entity Behavior Analytics, UEBA), um Aktivitäten in einem Netzwerk bestimmten Benutzern zuzuordnen. Wenn sich ein Benutzer ungewöhnlich verhält, können Analysten dies schnell erkennen und untersuchen. Es könnte sich auch um einen echten Mitarbeiter handeln, der – wissentlich oder unwissentlich – ein Risiko darstellt.

Lesen Sie mehr über Kerberoasting

Rapid7 macht den nächsten Schritt mit neuen KI-gestützten Bedrohungserkennungen

Erfahren Sie mehr darüber, wie Sie einen Angriff mit der Rapid7-Lösung identifizieren können