Jedes Unternehmen, das sich auf die Kerberos-Authentifizierung - die wichtigste Authentifizierungsmethode in Active Directory-Umgebungen - verlässt, ist potenziell anfällig für einen Pass the Ticket-Angriff. Unternehmen, die ihre Systeme nicht regelmäßig patchen, Active Directory nicht überwachen und sichern und keine robusten Sicherheitsmaßnahmen zum Schutz von Anmeldeinformationen und Tickets anwenden, sind einem höheren Risiko ausgesetzt. Lassen Sie uns besprechen, wie Sie einen Pass the Ticket-Angriff erkennen und abwehren können.
Was ist ein Pass the Ticket-Angriff?
Ein Pass the Ticket-Angriff ist eine raffinierte Taktik. Bedrohungsakteure nutzen diesen Angriff, um sich unbefugten Zugriff auf Netzwerkressourcen in Umgebungen zu verschaffen, die Kerberos, das Standard-Authentifizierungsprotokoll in Active Directory, verwenden.
Im Gegensatz zu passwortbasierten Angriffen nutzt ein Pass the Ticket-Angriff das Ticket-Granting-Ticket (TGT) und Service-Tickets innerhalb des Kerberos-Authentifizierungsprozesses aus. Indem sie diese Tickets erbeuten und wiederverwenden, können sich Angreifer als legitime Benutzer ausgeben - ohne ihre tatsächlichen Anmeldedaten zu benötigen.
Angreifer nutzen den Pass the Ticket-Angriff oft in Verbindung mit anderen Techniken als Teil eines mehrstufigen Angriffs. Nachdem sich die Angreifer mit einem Pass the Ticket-Angriff Zugang zu Ihrem Netzwerk verschafft haben, setzen sie möglicherweise Ransomware ein, schaffen Hintertüren oder richten Command-and-Control-Server ein, die sie langfristig ausnutzen und aufrechterhalten. Die Vielseitigkeit und Unauffälligkeit dieses Angriffs machen ihn zu einer beliebten Technik für APTs (Advanced Persistent Threats) und andere raffinierte Angreifer.
Lesen Sie dazu: Schützen Sie Active Directory gegen Kerberoasting
Wie funktioniert ein Pass the Ticket-Angriff?
Bei einem Pass the Ticket-Angriff kompromittiert der Angreifer zunächst das System oder Gerät eines Benutzers. Mit Tools wie Mimikatz, Kekeo, Rubeus oder Creddump7 extrahiert der Angreifer dann Kerberos-TGTs oder Service-Tickets aus dem LSASS-Speicher.
Mit diesen Tickets in der Hand kann der Angreifer dann:
- Legen Sie ein gestohlenes Ticket vor, um auf Ressourcen zuzugreifen, für die das Ticket gültig ist.
- Bewegen Sie sich seitlich innerhalb des Netzwerks und greifen Sie als kompromittierter Benutzer auf Systeme und Dienste zu.
- Versuch, die Privilegien zu erweitern, indem er das Ticket eines Benutzers mit höheren Privilegien erbeutet.
Die Erkennung eines Pass the Ticket-Angriffs ist eine Herausforderung. Da der Angreifer legitime Tickets verwendet, erscheinen diese Aktionen oft als authentische Benutzeraktivitäten.
Beachten Sie, dass ein Pass the Ticket-Angriff die Ausnutzung von Kerberos-Tickets - insbesondere des TGT - beinhaltet, die standardmäßig eine Lebensdauer von 10 Stunden (600 Minuten) haben und für 7 Tage verlängert werden können. Daher muss der Angreifer das Ticket innerhalb dieses Zeitraums verwenden.
Welche Risiken sind mit einem Pass the Ticket-Angriff verbunden?
Das Hauptrisiko eines Pass the Ticket-Angriffs ist der unbefugte Zugriff. Durch die Verwendung eines gültigen Tickets können Angreifer herkömmliche Authentifizierungsmechanismen umgehen und so Zugang zu sensiblen Daten, Anwendungen und Diensten erlangen. Durch die Heimlichkeit des Angriffs können Angreifer über längere Zeiträume hinweg unentdeckt in einem Netzwerk verbleiben. Betrachten Sie die folgenden Beispielszenarien.
Erster Kompromiss
Ein Angreifer infiltriert erfolgreich einen einfachen Mitarbeiter und verschafft sich Zugang zu dessen Arbeitsplatz. Mit einem Tool wie Mimikatz oder Rubeus extrahiert der Angreifer Kerberos-Tickets aus dem Speicher des Systems. Der Angreifer verwendet diese Tickets, um auf Netzwerkfreigaben, Datenbanken oder andere Ressourcen zuzugreifen, auf die der Mitarbeiter Zugriffsrechte hat.
Seitliche Bewegung
Nachdem ein Angreifer einen Rechner kompromittiert hat, erbeutet er ein Kerberos-Ticket eines IT-Mitarbeiters, der sich kürzlich an diesem Rechner angemeldet hat. Mit diesem Ticket geht der Angreifer zu einem anderen Rechner oder Server, auf den dieser IT-Mitarbeiter Zugriff hat, und vergrößert so seinen Einflussbereich innerhalb des Unternehmens. Der Angreifer kann das Ticket nutzen, um vertrauliche Informationen oder Systeme abzurufen oder schädliche Aktionen auszuführen, wie z. B. die Installation von Malware, die Erstellung neuer Benutzerkonten oder die Änderung von Konfigurationen.
Eskalation von Privilegien
Von der Workstation eines kompromittierten Benutzers aus erbeutet ein Angreifer ein Service-Ticket eines Administrators, der eine Aufgabe auf der Workstation ausgeführt hat. Mit diesem Ticket erweitert der Angreifer seine Privilegien innerhalb des Netzwerks und greift auf sensible Server zu, einschließlich eines Active Directory-Domänencontrollers.
Exfiltration von Daten
Nachdem er ein gültiges Ticket erhalten hat, greift ein Angreifer auf einen Datenbankserver zu. Der Angreifer exfiltriert dann sensible Daten, einschließlich Kundeninformationen oder geistiges Eigentum, ohne jemals ein Passwort knacken oder den Server direkt kompromittieren zu müssen.
Unauffällige Beharrlichkeit
Anstatt Malware oder andere Tools zu verwenden, die Antivirensoftware auslösen könnten, erhält ein Angreifer mit gestohlenen Tickets Zugang zum Netzwerk, aktualisiert diese bei Bedarf und greift auf Ressourcen zu, ohne einen Alarm auszulösen.
Kompromittierung von Cloud-Ressourcen
Ein Unternehmen verwendet Single Sign-On (SSO) und integriert sein lokales Active Directory mit Cloud-Diensten. Ein Angreifer verschafft sich ein Ticket und kann dann auf Cloud-Ressourcen, einschließlich Speicher und Datenbanken, zugreifen, was zu Datenverletzungen führt.
Wie können Sie einen Pass the Ticket-Angriff erkennen?
Die Erkennung eines Pass the Ticket-Angriffs kann schwierig sein. Das legitime Erscheinungsbild von Ticket-basierten Aktivitäten erschwert die Aufgabe.
Die folgenden Erkennungsstrategien können Ihnen helfen, diese Art von Angriffen zu erkennen:
- Erkennung von Anomalien. Überwachen Sie ungewöhnliche Zugriffsmuster oder Aktivitäten während ungerader Stunden. Solche Muster könnten auf böswillige Absichten hinweisen.
- Überwachen Sie Authentifizierungsereignisse. Überwachen Sie alle Kerberos-Authentifizierungsereignisse und prüfen Sie sie auf Unstimmigkeiten. Führen Sie diese Prüfung sowohl für Endpunkte als auch für Domänencontroller durch.
- Ticket-Lebensdauer. Verfolgen Sie das Alter von Tickets und setzen Sie Warnungen für Tickets, die über ihre festgelegte Lebensdauer hinaus verwendet werden.
- Überwachungs-Tools. Verwenden Sie fortschrittliche Lösungen zur Erkennung von Bedrohungen, die Pass the Ticket-Angriffsmuster erkennen können. Achten Sie auch auf die Verwendung von Tools wie Mimikatz, Kekeo, Rubeus und Creddump7.
In großen Umgebungen wird häufig ein SIEM-System (Security Information and Event Management) oder ein anderer Filter- und Warnmechanismus eingesetzt, um Ereignisprotokolle zu scannen und Administratoren auf der Grundlage von Anmeldeereignissen zu alarmieren. Bestimmte Angriffe sind jedoch sehr geschickt darin, alle Spuren ihres Verhaltens in Active Directory zu verwischen. Solche Angriffe können sich an der SIEM-Erkennung vorbeischleichen.
Wie können Sie sich gegen einen Pass the Ticket-Angriff verteidigen?
Die Schadensbegrenzung konzentriert sich sowohl auf Prävention als auch auf Begrenzung:
- Begrenzen Sie die Lebensdauer von Tickets. Reduzieren Sie die Lebensdauer von TGTs und Service-Tickets. Die Standardlebensdauer für Tickets beträgt 600 Minuten (10 Stunden).
- Patchen Sie regelmäßig Ihre Systeme. Stellen Sie sicher, dass alle Systeme, insbesondere Domänencontroller, regelmäßig gepatcht werden.
- Schützen Sie privilegierte Konten. Begrenzen Sie die Anzahl der privilegierten Konten und verwenden Sie eine mehrstufige Authentifizierung (MFA).
- Überwachen und prüfen Sie Active Directory. Überprüfen Sie regelmäßig die Active Directory-Protokolle und kontrollieren Sie sie. Konfigurieren Sie Warnmeldungen für verdächtige Aktivitäten. Besser noch: Setzen Sie eine Lösung ein , die für die Sicherheit von Active Directory konzipiert ist und den Active Directory-Replikationsstrom überwacht, anstatt sich auf Protokolle zu verlassen.
Um einen Pass the Ticket-Angriff und andere Kerberos-bezogene Angriffe abzuwehren, müssen Active Directory-Administratoren eine starke Sicherheitsvorkehrung aufrechterhalten:
- Implementieren Sie den Modus Eingeschränkter Administrator. Dieser Schritt verhindert, dass die Anmeldedaten von Administratoren im Speicher gespeichert werden, wenn sie sich über RDP mit einem System verbinden.
- Sicherheits-Baselines anwenden. Implementieren Sie Microsoft Sicherheits-Baselines für Active Directory und Gruppenrichtlinien.
- Halten Sie Ihre Systeme auf dem neuesten Stand. Sorgen Sie dafür, dass Ihre Systeme und Software rechtzeitig gepatcht werden.
- Setzen Sie Credential Guard ein. Credential Guard wurde in Windows 10 und Windows Server 2016 und höher eingeführt und nutzt die Virtualisierung, um die Speicherung von Anmeldeinformationen zu sichern und den Zugriff nur vertrauenswürdigen Prozessen zu ermöglichen. Die Funktion hilft auch dabei, LSASS zu isolieren und vor Angriffstools zu schützen.
- Informieren Sie die Benutzer. Schulen Sie Benutzer mit Domänen- oder erweiterten Anmeldedaten, damit sie sich nicht bei nicht vertrauenswürdigen Hosts anmelden.
Verteidigen Sie Kerberos-abhängige Netzwerke, um das Risiko zu verringern
Der Pass the Ticket-Angriff ist ein Beispiel für die fortschrittlichen Techniken, die moderne Angreifer verwenden, um scheinbar robuste Authentifizierungssysteme auszunutzen. Wenn Sie die Mechanismen des Pass the Ticket-Angriffs verstehen, können Sie Ihre Kerberos-abhängigen Netzwerke besser verteidigen.
Der beste Weg, Ihre Verteidigung zu stärken und das Risiko solcher fortschrittlichen Bedrohungen deutlich zu reduzieren, ist die Ergreifung proaktiver Maßnahmen zur Sicherung von Active Directory. Zu diesen Schritten gehören die kontinuierliche Überwachung und der Einsatz von robusten Lösungen zur Erkennung von Identitätsbedrohungen und zur Reaktion darauf (ITDR). Ein Überwachungssystem wie Semperis Directory Services Protector, das darauf ausgelegt ist, fortgeschrittene Angriffe zu erkennen und verdächtige Änderungen im Active Directory automatisch rückgängig zu machen, kann Ihnen im Falle eines versuchten Pass-the-Ticket-Angriffs mehr Sicherheit bieten.