?>
Kerberoasting
Author
Maren Keller, Mi, 30. Aug. 2023
 in IT-Sicherheit

Kerberoasting

Was sind Kerberoasting-Angriffe und wie schützen Sie sich?

Haben Sie den Begriff Kerberoasting schon mal gehört? Dabei handelt es sich um eine Angriffstechnik, die Cyberkriminelle anwenden, um Passwörter zu klauen. Und zwar nicht irgendwelche, sondern Active-Directory-Konten.

Wie die Angreifer vorgehen und wie Sie sich schützen, erfahren Sie von uns.

Was ist Kerberoasting?

Kerberoasting ist ein „Offline“-Angriff, bei dem kein ungewöhnlicher Datenverkehr anfällt oder Datenpakete übertragen werden. Stattdessen verwenden Cyberkriminelle die Angriffstechnik, um Passwort-Hashes aus dem Kerberos-Authentifizierungssystem zu extrahieren.

Kerberos ist ein weit verbreitetes Authentifizierungsprotokoll. Es wird unter anderem in Windows-Netzwerken eingesetzt, um Benutzer zu authentifizieren, ohne dass klare Textpasswörter über das Netzwerk übertragen werden müssen.

Die Technik zielt darauf ab, schwache Benutzerkonten zu erkennen, herauszufiltern und die verschlüsselten Dienstkontenschlüssel (Service-Account-Keys) zu extrahieren, die von Kerberos zur Authentifizierung von Diensten verwendet werden. Diese Schlüssel können dann offline angegriffen werden, um die Passwörter der Dienstkonten zu ermitteln. Ziel ist es, die Zugangsdaten anderer Nutzer des Netzwerks herauszufinden.

Kerberoasting: Mann vor Bildschirm, liest Daten aus. Bild: Pexels/Mikhal Nilov (https://www.pexels.com/de-de/foto/mann-technologie-computer-bildschirm-6963944/)

Das Ziel der Hacker ist klar: sensible Firmendaten. Bild: Pexels/Mikhail Nilov

Kerberoasting in vier Schritten

Ein Angriff mittels Kerberoasting läuft üblicherweise in vier Schritten ab: Im ersten Schritt identifizieren die Angreifer Dienstkonten. Der Angreifer sucht dabei nach Benutzerkonten, die für Dienste verwendet werden, die Kerberos-Authentifizierung verwenden. Diese Konten werden oft in Active Directory als „Service Accounts“ oder „Managed Service Accounts“ konfiguriert.

Danach, Schritt zwei, fordern sie ein Dienstticket-Hash an: Der Angreifer fordert mithilfe von Werkzeugen wie „GetNPUsers“ (Teil des Impacket-Frameworks) einen speziellen Art von Kerberos-Ticket an, das als TGS-(Ticket Granting Service)-Ticket bezeichnet wird. Dieses Ticket enthält einen verschlüsselten Dienstkontenschlüssel.

Im dritten Schritt kommt es zum Offline-Angriff: Der Angreifer kann den verschlüsselten Dienstkontenschlüssel offline angreifen, um das zugehörige Passwort zu ermitteln. Dies kann mithilfe von Brute-Force-Angriffen oder Wörterbuchangriffen auf den verschlüsselten Schlüssel erfolgen. Wenn das Passwort schwach ist, kann der Angreifer es relativ schnell entschlüsseln.

Zu guter Letzt, Schritt vier, kann der Angreifer sich mithilfe des ermittelten Passworts bei Diensten anmelden, die dieses Konto verwenden. Der Angreifer erhält so Zugriff auf die jeweiligen Ressourcen.

Schutz vor Angriff mittels Kerberos

Natürlich ist es möglich, sich vor Kerberoasting zu schützen. Schutzmaßnahmen vor solchen Angriffen gibt es mehrere. Wir zeigen Ihnen, was Sie tun müssen, um vor den Attacken sicher zu sein:

  • Verwenden Sie nur starke, zufällige Passwörter für Dienstkonten, um die Wahrscheinlichkeit von erfolgreichen Brute-Force-Angriffen zu verringern.
  • Nutzen Sie Managed Service Accounts (MSAs), die von Windows verwaltet werden und automatisch starke Passwörter generieren.
  • Schränken Sie TGS-Tickets, indem Sie Gruppenrichtlinien verwenden, die die Rechte von Benutzern einschränken, um TGS-Tickets für Dienstkonten anzufordern. Dies kann die Angriffsfläche verringern.
  • Überprüfen und überwachen Sie das Netzwerk regelmäßig auf verdächtige Aktivitäten, um Anomalien und potenzielle Angriffe zu erkennen.
  • Halten Sie das Betriebssystem und verwendete Tools stets auf dem neuesten Stand, um bekannte Schwachstellen zu beheben. Hierbei bietet sich ein Patch-Management an.

Nicht vergessen werden darf natürlich, dass sich die Sicherheitslandschaft ständig in Bewegung befindet. Die kriminellen Angreifer denken sich immer neue Angriffstechniken aus und nutzen die kleinste Sicherheitslücke in Ihrem System aus, um sensible Daten zu stehlen, Schadcode einzufügen und Ihrem Unternehmen auf diesem Weg zu schaden.

Kerberoasting: Zwei Frauen vor einem Laptop mit Daten. Bild: Pexels/Christina Morillo (https://www.pexels.com/de-de/foto/zwei-frauen-die-den-code-am-laptop-betrachten-1181263/)

Damit Ihre sensiblen Firmendaten vor Angriffen sicher sind, sind Schutzmaßnahmen wichtig. Bild: Pexels/Christina Morillo

PC-SPEZIALIST tritt für Ihre IT-Sicherheit ein

Damit Ihr Betrieb vor Angriffen jeder Art sicher ist, empfiehlt es sich, die IT-Sicherheit an einen externen Dienstleister wie PC-SPEZIALIST in Ihrer Nähe auszulagern. Das gilt vor allem, wenn Sie keinen IT-Verantwortlichen in Ihrem Unternehmen haben. In dem Fall sollten Sie schnell handeln!

Nehmen Sie Kontakt zu uns auf und lassen Sie sich von uns unverbindlich beraten. Beispielsweise zum IT-Basisschutz, der Ihre Firmen-IT grundlegend absichert. Dank Patch-Management, Desktop-Montoring und Managed Antivirus und weiteren Bestandteilen sind Sie mit dem Paket auf der sicheren Seite. Ihnen reicht das nicht? Dann besprechen wir gern, welche  potenziellen Leistungserweiterungen für Ihren Bedarf geeignet und sinnvoll sind.

Natürlich benötigen nur einen Antivirenschutz oder wünschen ein Backup? Auch in dem Fall sind die IT-Experten von PC-SPEZIALIST gern für Sie da!

_______________________________________________

Quellen: computerweekly, heise, prosec, scip, crowdstrike, Pexels/fauxels (Header-Bild)

,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren