Veröffentlicht: 13. Mai 2024
Mitwirkender: Matthew Kosinski
Kerberoasting ist ein Cyberangriff, der das Kerberos-Authentifizierungsprotokoll ausnutzt. Akteure, von denen Sicherheitsbedrohungen ausgehen, stehlen Kerberos-Service-Tickets, um die Klartext-Passwörter von Netzwerk-Servicekonten herauszufinden. Die Hacker übernehmen dann die Kontrolle über diese Servicekonten, um Daten zu stehlen, Malware zu verbreiten und vieles mehr.
Kerberoasting kommt immer häufiger vor. Laut dem X-Force Threat Intelligence Index haben die Sicherheitsanalysten von IBM® X-Force zwischen 2022 und 2023 einen Anstieg der Kerberoasting-Vorfälle um 100 % festgestellt. Diese Zunahme ist Teil eines generellen Trends, bei dem Hacker legitime Konten zum Einbruch in Netzwerke missbrauchen. Verbesserungen bei der Netzwerk- und Endpunktsicherheit haben direkte Angriffe sehr viel schwieriger werden lassen.
Die Beliebtheit von Kerberoasting wird durch einige zusätzliche Faktoren verstärkt. Viele Verzeichnisdienste und Cloud-Computing-Systeme verwenden Kerberos. Und das bedeutet, dass Hacker das Protokoll ausnutzen können, um sich Zugang zu kritischer Netzwerkinfrastruktur zu verschaffen.
Insbesondere ist Kerberos ein Standard in Microsoft Windows Active Directory, weshalb viele Kerberoasting-Angriffe auf Active-Directory-Domains abzielen. Außerdem haben manuell erstellte Servicekonten meist schwache Passwörter und hohe Privilegien, was sie zu attraktiven Zielen macht.
Kerberoasting-Angriffe sind schwer zu erkennen, weil sie sich das Design von Kerberos zu Nutze machen. Der verdächtigste Teil eines Kerberoasting-Angriffs, nämlich das Entschlüsseln der gestohlenen Tickets, findet offline statt. Cybersecurity-Experten können die Möglichkeit des Kerberoasting nicht vollständig ausschließen, aber proaktive Abwehrmaßnahmen ergreifen, um die Bedrohung einzudämmen.
Erhalten Sie wichtige Erkenntnisse, die Ihren Sicherheits- und IT-Teams dabei helfen, Risiken besser zu managen und potenzielle Verluste zu begrenzen.
Kerberoasting ist in der Regel eher ein Mittel zur Privilegienerweiterung als eine Einbruchstaktik. Nachdem ein Hacker die Kontrolle über ein Domain-Benutzerkonto erlangt hat, um in das Netzwerk einzudringen, verwendet er Keberoasting zur Ausdehnung seiner Reichweite.
Die meisten Kerberoasting-Angriffe folgen der gleichen grundlegenden Methode:
- Ein Hacker nutzt ein kompromittiertes Konto, um Kerberos-Service-Tickets zu erlangen.
- Der Hacker überträgt diese Tickets auf einen Computer, der ihm gehört und sich außerhalb des von ihm angegriffenen Netzwerks befindet.
- Der Hacker entschlüsselt die Tickets und erhält so die Passwörter der Servicekonten, über welche die mit den einzelnen Tickets verbundenen Dienste laufen.
- Der Hacker meldet sich mit den Anmeldedaten der Servicekonten im Netzwerk an und missbraucht deren Berechtigungen, um sich im Netzwerk zu bewegen und Schaden anzurichten.
Um zu verstehen, warum Keberoasting funktioniert, muss man zunächst die Grundlagen von Kerberos verstehen.
Kerberos ist ein Authentifizierungsprotokoll, das Benutzern und Diensten (wie Anwendungen, Datenbanken und Servern) eine sichere Authentifizierung und Kommunikation innerhalb von Active Directory und anderen Domains ermöglicht.
Der Kerberos-Authentifizierungsprozess verwendet ein Ticketingsystem. Das Herzstück dieses Systems ist das Key Distribution Center (KDC), das auf dem Domain Controller des Netzwerks betrieben wird.
Das KDC ist im Wesentlichen der Pförtner der Domain. Er authentifiziert Benutzer und Dienste im Netzwerk und stellt ihnen Tickets aus. Tickets sind Berechtigungsnachweise, mit denen die Identität von Benutzern nachgewiesen wird und die ihnen den Zugriff auf andere Ressourcen im Netzwerk ermöglichen. Die Benutzer und Dienste tauschen diese Tickets aus, um sich gegenseitig zu verifizieren.
Wenn sich ein Benutzer bei einer Domain anmeldet, authentifiziert er sich zunächst am KDC und erhält ein sogenanntes Ticket Granting Ticket (abgekürzt TGT). Mit diesem TGT kann der Benutzer den Zugriff auf Domain-Services anfordern.
Wenn der Benutzer auf einen Service zugreifen möchte, sendet er eine Anforderung an den Ticket-Granting Service (TGS) des KDC. Das TGT begleitet diese Anfrage, um die Identität des Benutzers zu bestätigen.
Als Antwort stellt das KDC ein Service-Ticket aus, auch „TGS-Ticket“ genannt, das mit dem Passwort des Servicekontos verschlüsselt ist. Dies geschieht, um sicherzustellen, dass nur der Zieldienst die Zugriffsanfrage des Benutzers validieren kann. Der Benutzer legt dieses Service-Ticket dem Zielservice vor, der den Benutzer authentifiziert und eine sichere Sitzung einleitet.
Das Design von Kerberos enthält einige Details, die es für Kerberoasting anfällig machen.
Erstens prüft das KDC nicht, ob Benutzer zum Zugriff auf einen Dienst berechtigt sind. Jeder Benutzer kann ein Ticket für jeden Dienst anfordern. Es obliegt den einzelnen Diensten, die Berechtigungen durchzusetzen und nicht autorisierte Benutzer zu sperren. Daher müssen Hacker nicht die Konten von Domainadministratoren oder anderen privilegierten Benutzern kapern. Jedes kompromittierte Konto funktioniert.
Zweitens muss jeder Dienst in einer Kerberos-Domain mit einem Servicekonto verknüpft sein, das für die Ausführung des Dienstes in der Domain verantwortlich ist. Servicekonten ermöglichen es Kerberos, Dienste zu authentifizieren, Service-Tickets auszustellen und Sicherheitskontrollen durchzusetzen. Diese Konten bieten auch Hackern ein Ziel, da sie in der Regel über hohe Privilegien verfügen.
Drittens werden Kerberos-Tickets verschlüsselt, wobei die Passwort-Hashes der zugehörigen Konten als Schlüssel verwendet werden. Wichtig für das Kerberoasting ist, dass die Service-Tickets die Passwort-Hashes der entsprechenden Servicekonten verwenden.
Kontopasswörter sind praktische symmetrische Verschlüsselungscodes, da nur das KDC und der zugehörige Service dieses Passwort kennen sollten. Da Tickets jedoch mit Passwort-Hashes verschlüsselt werden, können Hacker die Passwörter von Servicekonten zurückentwickeln, indem sie die Verschlüsselung eines Tickets knacken.
Außerdem ist bei manuell konfigurierten Servicekonten häufig die Option „Passwort läuft nie ab“ aktiviert. In lange bestehenden Netzwerken kann dies bedeuten, dass Servicekonten sehr alte Passwörter verwenden, die veralteten Sicherheitsrichtlinien folgen und somit leicht zu knacken sind.
Der erste Schritt bei einem typischen Kerberoasting-Angriff besteht im Diebstahl des Kontos eines Domain-Benutzers. In dieser Phase können Hacker viele Cyberangriffsmethoden anwenden, darunter Phishing, Keylogger oder andere Techniken. Mit diesem Konto können die Hacker dann auf die Zieldomain zugreifen.
Wenn sich die Hacker im Netzwerk befinden, suchen sie nach Dienstkonten. Dazu suchen sie häufig nach Konten mit Service Principal Names (SPNs). SPNs sind eindeutige Identifikatoren, die Services mit ihren Servicekonten in einer Kerberos-Domain verknüpfen. Da nur Servicekonten über dieses Attribut verfügen, ist die Abfrage der Konten mit SPNs eine praktische Methode zur Suche nach Zielen für Hacker. Jedes Domainkonto kann standardmäßig SPNs auflisten.
Hacker können PowerShell-Befehle und LDAP-Abfragen (Lightweight Directory Access Protocol) verwenden, um Konten mit SPNs aufzuspüren. Sie können auch spezielle Tools für Hacking und Penetrationsprüfungen verwenden. Das Impacket-Toolkit enthält zum Beispiel ein Skript namens „GetUserSPNs.py“, das eine Liste der Servicekonten in einer Domain erstellt.
Der Hacker verwendet das gekaperte Domain-Konto, um Service-Tickets für die gewünschten Services anzufordern.
Er verwendet diese Tickets jedoch nicht für den Zugriff auf diese Dienste. Er könnte dies zwar tun, hätte aber nur die eingeschränkten Berechtigungen des gestohlenen Benutzerkontos mit wahrscheinlich niedriger Stufe. Stattdessen überträgt der Hacker diese Tickets aus dem Netzwerk heraus auf einen Computer, den er kontrolliert.
Der Hacker entschlüsselt die gestohlenen Tickets, um an die Passwörter der Servicekonten zu gelangen.
Da die Tickets die Passwörter der Servicekonten als kryptografische Schlüssel verwenden, nutzen Hacker in der Regel Brute-Force-Angriffe für diesen Versuch. Sie verwenden systematisch verschiedene Passwörter, um Dechiffrierschlüssel („Hashes“) zu erzeugen, die sie für das gestohlene Ticket verwenden. Wenn ein Dechiffrierschlüssel funktioniert, dann ist das Passwort, das den Code erzeugt hat, das Passwort des Servicekontos.
Hacker können die Entschlüsselung beschleunigen, indem sie Wortlisten mit gängigen Kennwörtern verwenden. Darüber hinaus nutzen sie verschiedene Tools, um den Cracking-Prozess zu automatisieren. Einige der gängigsten Kerberoasting-Tools sind:
Impacket: Ein Python-Toolkit für Pentester. Es enthält einige Skripte, die in den Händen eines Hackers echten Schaden anrichten können.
Rubeus: Ein Toolset, das entwickelt wurde, um Kerberos für Penetrationsprüfungen auszunutzen. Wie viele Tools für ethisches Hacking kann es von unethischen Hackern für böswillige Zwecke verwendet werden.
John the Ripper und Hashcat: Passwort-Cracker, die Brute-Force-Angriffe ausführen können.
Mimikatz: Hilft Hackern beim Extrahieren und Knacken von Kerberos-Tickets.
Das Knacken von Tickets ist die größte Schwachstelle im Kerberoasting-Prozess. Dies geschieht jedoch in der Regel außerhalb des Zielnetzwerks auf einem Gerät, das von Hackern kontrolliert wird. Die Sicherheitstools des Unternehmens können dies nicht erkennen.
Mit dem Passwort eines Servicekontos bewaffnet, kann sich der Hacker bei diesem Konto anmelden und dessen Berechtigungen nutzen, um auf sensible Ressourcen zuzugreifen, Lateralbewegungen durchzuführen und mehr.
Wenn ein Hacker beispielsweise das Passwort des Servicekontos eines SQL-Servers knackt, kann er die Kontrolle über die auf diesem Server gehosteten Datenbanken erlangen.
Obwohl Kerberoasting normalerweise ein kompromittiertes Domain-Benutzerkonto erfordert, hat der Sicherheitsforscher Charlie Clark eine Angriffstechnik entdeckt, mit der Hacker unter den richtigen Bedingungen Service-Tickets auch ohne ein gekapertes Konto stehlen können..1
Bevor ein Benutzer Service-Tickets erhalten kann, muss er sich beim KDC authentifizieren und ein TGT erhalten, mit dem er den Service-Zugang anfordern kann. Mit Hilfe des Kerberos-Exploitation-Tools Rubeus konnte Clark diese anfängliche Authentifizierungsanfrage so abändern, dass ein Service-Ticket anstelle eines TGTs angefordert wurde. Es funktionierte, und das KDC antwortete mit einem Service-Ticket.
Diese Methode hat jedoch nur begrenzte Anwendungsmöglichkeiten. Damit die Technik funktioniert, muss der Hacker vorgeben, die Authentifizierungsanfrage von einem Konto zu senden, das keine Vorauthentifizierung in Kerberos erfordert. Konten, die eine Vorauthentifizierung erfordern, was bei den meisten der Fall ist, benötigen Benutzeranmeldeinformationen, um überhaupt die erste von Clark geänderte Authentifizierungsanforderung zu senden. Dennoch eröffnet diese Technik ein potenzielles Einfallstor für Angreifer.
Hacker haben bei einigen der bedeutendsten Cyberangriffe der letzten Jahre Kerberoasting-Techniken eingesetzt.
Bei dem SolarWinds-Angriff 2020 verbreiteten russische Hacker Malware, indem sie diese als legitimes Update für die Orion-Infrastrukturmanagement-Plattform von SolarWinds tarnten. Die Hacker drangen in mehrere Unternehmen und Regierungsbehörden ein, darunter das US-Außen- und Justizministerium. Nach Angaben von Mitre nutzten die Hacker Kerberoasting, um ihre Privilegien in den kompromittierten Systemen zu erweitern.2
Ebenso nutzen Hacker, die mit der Ransomware Akira in Verbindung gebracht werden, häufig Kerberoasting zur Erweiterung ihrer Reichweite und zur Aufrechterhaltung des Zugriffs auf die von ihnen gekaperten Netzwerke. Bis April 2024 hat Akira 250 Organisationen weltweit angegriffen und insgesamt 42 Millionen US-Dollar an Lösegeldzahlungen erpresst.3
Golden-Ticket-Angriffe zielen zwar auch auf Kerberos-Authentifizierungsprozesse ab, unterscheiden sich aber vom Keberoasting.
Beim Kerberoasting stehlen und knacken Hacker Tickets, um Passwörter ausfindig zu machen und Dienstkonten zu übernehmen.
Bei einem Golden-Ticket-Angriff verschafft sich ein Hacker zunächst Administrator-Rechte in einer Domain. Dies ermöglicht ihm den Zugriff auf das Passwort des krbtgt-Kontos, das vom KDC zur Verschlüsselung von TGTs verwendet wird. Der Hacker nutzt diese Privilegien, um gefälschte Kerberos-Tickets zu erstellen, mit denen er sich als beliebiger Benutzer ausgeben und praktisch uneingeschränkten Zugriff auf Netzwerkressourcen erhalten kann.
Kerberoasting-Angriffe sind schwer zu erkennen, weil die Angreifer einen Großteil ihrer Zeit mit der Tarnung als legitime Konten verbringen. Ihre Ticketanfragen vermischen sich mit echten Anfragen, wobei das eigentliche Knacken der Passwörter außerhalb des Netzwerks stattfindet.
Dennoch gibt es Tools und Verfahren, die Unternehmen zur Verringerung der Wahrscheinlichkeit eines erfolgreichen Angriffs und zum besseren Abfangen von Kerberoasting-Versuchen einsetzen können.
Da Kerberoasting-Angriffe die Kontrolle über Domainkonten übernehmen, kann der Schutz dieser Konten durch erweiterte IAM-Kontrollen zur Vereitelung von Verstößen beitragen.
Starke Passwortrichtlinien und -praktiken, einschließlich zentraler Lösungen zur Passwortverwaltung, können Hackern das Knacken von Passwörtern erschweren. Das MITRE ATT&CK-Framework empfiehlt zum Beispiel, dass Passwörter für Servicekonten mindestens 25 Zeichen lang und ausreichend komplex sein sowie regelmäßig geändert werden sollten.4
In Active Directory können Unternehmen gruppenverwaltete Servicekonten verwenden. Dabei handelt es sich um Servicekonten, die automatisch Passwörter erstellen, verwalten und regelmäßig ändern, sodass die Administratoren die Passwörter nicht manuell verwalten müssen.
Eine starke Authentifizierung, wie die adaptive oder Multifaktor-Authentifizierung (MFA), kann auch zum Schutz von Benutzerkonten vor Diebstahl beitragen. Allerdings ist die Verwendung von MFA für Servicekonten oft schwierig und ineffizient.
Tools zur Verwaltung des privilegierten Zugriffs können dazu beitragen, die Anmeldeinformationen privilegierter Konten, wie z. B. Kerberos-Servicekonten und andere begehrte Ziele, zusätzlich zu schützen.
Indem Sie die Privilegien von Servicekonten auf die erforderlichen Berechtigungen beschränken, können Unternehmen den Schaden minimieren, den Hacker durch die Kompromittierung dieser Konten anrichten können.
Außerdem können Servicekonten auf nicht-interaktive Anmeldungen und nur auf bestimmte Dienste und Systeme beschränkt werden.
Böswillige Ticketanfragen vermischen sich oft mit legitimen Anfragen, wobei Hacker allerdings verräterische Anzeichen hinterlassen können. So könnte ein Konto, das viele Tickets für viele Dienste gleichzeitig anfordert, einen Kerberoasting-Angriff durchführen.
Ereignisprotokolle wie Windows Event Viewer oder ein SIEM-System (Security Information and Event Management) können Sicherheitsteams bei der Erkennung verdächtiger Aktivitäten helfen. Tools zur Überwachung von Benutzern, wie z. B. eine Lösung zur Analyse des Benutzerverhaltens (User Behaviour Analytics, UBA), können zur Aufdeckung von Hackern beitragen, die legitime Konten gekapert haben.
Sicherheitsteams können mehr Bedrohungen erkennen, wenn sie die Überwachungs-Tools auf ihre Informationssysteme abstimmen. Die Tools können beispielsweise so konfiguriert werden, dass jeder Versuch eines Servicekontos, sich außerhalb seines vordefinierten Bereichs anzumelden, einen Alarm auslöst und eine Untersuchung erfordert.
Viele Instanzen von Kerberos unterstützen weiterhin den RC4-Verschlüsselungsalgorithmus. Dieser ältere Verschlüsselungsstandard ist jedoch für Hacker relativ leicht zu knacken.
Die Aktivierung eines stärkeren Verschlüsselungstyps wie AES kann Hackern das Knacken von Tickets erschweren.
Einige Unternehmen erstellen Honeytokens, gefälschte Domain-Konten, die kompromittiert werden sollen. Wenn Hacker ein Honeytoken angreifen, wird automatisch ein Alarm ausgelöst, damit das Sicherheitsteam handeln kann.
Honeytokens sollen die Aufmerksamkeit von echten Konten ablenken, indem sie den Anschein erwecken, schwache Anmeldedaten und hohe Privilegien zu haben.
Erkennen, kontrollieren, verwalten und schützen Sie privilegierte Konten auf Endgeräten und in hybriden Multi-Cloud-Umgebungen
Ergänzen Sie Entscheidungen darüber, welche Benutzer Zugriff auf die Daten und Anwendungen Ihres Unternehmens haben sollen, mit umfassendem Kontext, Informationen und Sicherheit – ganz gleich ob On-Premises oder in der Cloud.
Umfassendes, sicheres und konformes Identity und Access Management (IAM) für das moderne Unternehmen.
Lernen Sie von den Herausforderungen und Erfolgen von Sicherheitsteams auf der ganzen Welt, basierend auf Erkenntnissen und Beobachtungen aus der Überwachung von über 150 Milliarden Sicherheitsereignissen pro Tag in mehr als 130 Ländern.
Identity Orchestration ist eine Softwarelösung, mit der sich verteilte Identity und Access Management-Systeme (IAM) von mehreren Identitätsanbietern in reibungslose Workflows integrieren lassen.
Je mehr Sicherheitsteams und Mitarbeiter über die verschiedenen Arten von Cybersicherheitsbedrohungen wissen, desto effektiver können sie Cyberangriffe verhindern, sich darauf vorbereiten und darauf reagieren.
Fußnoten
Alle Links befinden sich außerhalb von ibm.com
1 Clark, Charlie. New Attack Paths? As Requested Service Tickets. Semperis. 27. September 2022.
2 SolarWinds Compromise. MITRE ATT&CK 14. April 2023.
3 StopRansomware: Akira Ransomware. Cybersecurity and Infrastructure Security Agency (CISA). 18. April 2024.
4 Steal or Forge Kerberos Tickets: Kerberoasting. MITRE ATT&CK. 30. März 2023.