In der komplexen Welt der Cybersicherheit stechen Golden Ticket- und Silver Ticket-Angriffe als zwei raffinierte Methoden hervor, die auf das Kerberos-Authentifizierungssystem abzielen. Obwohl beide Angriffe das gleiche System ausnutzen, unterscheiden sich ihre Ansätze, Ziele und Auswirkungen. Im Folgenden erfahren Sie, was Sie über Silver Ticket-Angriffe wissen müssen und wie sie sich von Golden Ticket-Angriffen unterscheiden.
Was ist ein Silver Ticket-Angriff?
Ein Silver Ticket ist ein gefälschtes Kerberos Ticket Granting Service (TGS) Ticket, das für einen bestimmten Dienst auf einem bestimmten Rechner erstellt wurde. Ein erfolgreicher Silver Ticket-Angriff gibt dem Angreifer die Möglichkeit, ein dienstspezifisches Kerberos-TGS-Ticket für jeden Dienst in der Domäne zu fälschen. Dieser Ansatz verschafft Angreifern einen engeren Zugang als Golden Ticket-Angriffe, die es Bedrohungsakteuren ermöglichen, ein Kerberos Ticket Granting Ticket (TGT) für jeden Benutzer in der Domäne zu fälschen und damit einem Angreifer domänenweiten Zugang zu gewähren.
Bei Silver Ticket-Angriffen ist der Zugriff auf den spezifischen Dienst beschränkt, für den das Ticket erstellt wurde. Allerdings muss das gefälschte Ticket nach seiner Erstellung nicht vom KDC validiert werden. Der heimliche Silver Ticket-Angriff gewährt nicht den weitreichenden Zugriff wie sein Goldenes Gegenstück, kann aber dennoch erheblichen Schaden anrichten, wenn er für kritische Dienste wie Dateiserver oder Datenbanken eingesetzt wird.
Wenn ein Angreifer beispielsweise den Hash eines SQL Server-Dienstkontos erhält, kann er ein Silver Ticket für den Zugriff auf die SQL Server-Instanz erstellen. Dann können sie Datenbanken abfragen oder sogar bösartige SQL-Befehle einschleusen, ohne einen TGS vom KDC anfordern zu müssen.
Hier sind die Schritte, die Angreifer bei einem Silver Ticket-Angriff befolgen:
- Der Angreifer kompromittiert ein Dienstkonto oder ein Maschinenkonto, um dessen NTLM-Hash zu extrahieren.
- Mit diesem Hash erstellt der Angreifer einen TGS für den angegebenen Dienst.
- Der Angreifer präsentiert den TGS, um auf den gewünschten Dienst zuzugreifen, ohne mit dem KDC interagieren zu müssen.
Sowohl Golden Tickets als auch Silver Tickets sind Kerberos-Ticket-Fälschungsangriffe in Active Directory-Umgebungen. Die Erkennung von Golden- und Silver-Ticket-Angriffen kann aufgrund des legitimen Aussehens der gefälschten Tickets schwierig sein. Bestimmte Indikatoren und Taktiken können Ihnen jedoch helfen, diese Angriffe zu erkennen.
Wie Sie einen Silver Ticket-Angriff erkennen
- Dienst-Fehlanpassung: Achten Sie auf jede TGS, die einem Dienst vorgelegt wird, der keine Validierung vom KDC angefordert hat. Wenn zum Beispiel ein TGS für einen SQL-Server vorgelegt wird, das KDC aber kein Protokoll über die Ausstellung eines solchen Tickets hat, sollten Sie sehr misstrauisch sein.
- Ereignisprotokolle: Die Windows-Ereignis-ID 4769 (auf dem Rechner des angegriffenen Dienstes) zeigt an, wenn ein Dienstticket verwendet wird. Wenn Sie keine entsprechende Ereignis-ID 4768 (die anzeigt, dass dem KDC ein TGT für einen TGS vorgelegt wird) für dasselbe Konto in unmittelbarer Nähe sehen, könnte ein Silver Ticket-Angriff im Gange sein.
- Anomalien der Ticket-Metadaten: Gefälschte Tickets können Metadaten oder Berechtigungen enthalten, die nicht mit Ihrer organisatorischen Grundstruktur oder Ihren Standardkonfigurationen übereinstimmen.
- Abnormales Verhalten des Dienstes: Achten Sie auf Dienste, auf die zu ungewöhnlichen Zeiten oder von Konten zugegriffen wird, die den Dienst normalerweise nicht nutzen.
Wie unterscheiden sich Silver Ticket-Angriffe von Golden Ticket-Angriffen?
Wie ein Silver Ticket ist ein Golden Ticket ein gefälschtes Ticket Granting Ticket (TGT), das Angreifer erstellen, nachdem sie sich Zugang zum KRBTGT-Konto der Domäne verschafft haben - dem Konto, das vom Key Distribution Center (TGTKDC) zur Verschlüsselung und Signatur aller TGTs verwendet wird. Mit anderen Worten: Ein Silver Ticket ist ein Schlüssel zu einem bestimmten Raum, ein Golden Ticket ist ein Schlüssel zum gesamten Gebäude.
Im Gegensatz zu den spezielleren Silver Ticket-Angriffen ermöglichen Golden Ticket-Angriffe einen dauerhaften domänenweiten Zugriff. Der Angreifer kann sich als ein beliebiger Benutzer ausgeben, seine Privilegien erhöhen und auf jeden Dienst zugreifen, solange der KRBTGT-Hash unverändert bleibt.
Die wahre Bedrohung durch ein Goldenes Ticket liegt in seiner großen Reichweite. Angreifer, die einmal mit einem Golden Ticket ausgestattet sind, können sich seitlich im Netzwerk bewegen, auf verschiedene Ressourcen zugreifen, Benutzerrechte manipulieren und sogar neue Anmeldedaten erstellen. Das Goldene Ticket ist ein Hauptschlüssel, der die Standardauthentifizierung umgeht und Angreifern weitreichende Netzwerkprivilegien verleiht. Sobald ein Angreifer den KRBTGT-Hash erlangt hat, kann er beispielsweise ein TGT für einen Domänenadministrator erstellen und dann TGSs für Dienste wie Dateifreigaben, Remote Desktop oder jeden anderen Dienst innerhalb der Domäne anfordern.
Silver Ticket-Angriffe unterscheiden sich von Golden Ticket-Angriffen in mehrfacher Hinsicht:
- Umfang: Goldene Tickets bieten domänenweiten Zugriff, so dass Anomalien weiter verbreitet sein können. Silver Tickets zielen auf bestimmte Dienste ab.
- Interaktionen mit dem KDC: Golden-Ticket-Angriffe interagieren häufiger mit dem KDC (um TGS für verschiedene Dienste anzufordern) als Silver-Ticket-Angriffe, die das KDC nach der anfänglichen Erstellung eines gefälschten Tickets umgehen können.
- Protokollierung: Bei Golden Tickets sollten sowohl die TGT- als auch die TGS-Protokolle untersucht werden. Bei Silver Ticket-Angriffen sollte der Schwerpunkt auf der Überwachung der TGS-Protokolle liegen, insbesondere wenn sie nicht mit TGT-Anfragen korrelieren.
Wie können Sie sich vor Silver Ticket-Angriffen schützen?
So schützen Sie Ihre Umgebung effektiv vor Silver Ticket-Angriffen:
- Wenden Sie strenge Zugriffskontrollen an und überwachen Sie die Aktivitäten privilegierter Konten. Purple Knight, Forest Druidund Semperis Directory Services Protector (DSP) bieten einen umfassenden Einblick in Active Directory. Microsoft Advanced Threat Analytics (ATA) kann ebenfalls dazu beitragen, verdächtige Aktivitäten in AD-Umgebungen zu erkennen.
- Überprüfen Sie regelmäßig die Active Directory-Protokolle, vorzugsweise mit einer zentralisierten Protokollverwaltungslösung oder einer Lösung wie DSP, die Aktivitäten erfasst, die vielen Ereignisüberwachungs-Tools entgehen.
- Implementieren Sie fortschrittliche Lösungen zur Erkennung von Bedrohungen wie DSP, die abnormales Verhalten analysieren und Warnmeldungen ausgeben.
Geben Sie Cyber-Angreifern keinen Freifahrtschein
Silver-Ticket-Angriffe sind in ihrem Umfang begrenzter als der berüchtigte Golden-Ticket-Angriff, der Angreifern domänenweiten Zugriff gewähren kann. Die Heimlichkeit des Silver Ticket-Angriffs macht ihn dennoch zu einer erheblichen Bedrohung. Silver Ticket-Angriffe umgehen die Notwendigkeit einer TGT-Validierung und können unentdeckt bleiben, wenn Sie keine besonderen Überwachungsmaßnahmen ergreifen. Die Überwachung von Dienstkonten und die Anwendung des Prinzips der geringsten Privilegien in Ihrer gesamten Umgebung sind wichtige Vorsichtsmaßnahmen.
Sowohl die Angriffe auf das Goldene als auch auf das Silberne Ticket unterstreichen, wie wichtig es ist, Ihre Active Directory-Umgebung regelmäßig zu überprüfen und zu überwachen, die Prinzipien der geringsten Rechte anzuwenden und robuste Sicherheitspraktiken für Dienste und privilegierte Konten zu gewährleisten.
Die schiere Dreistigkeit dieser Angriffe macht ihren potenziellen Schaden deutlich. Für Unternehmen ist es von entscheidender Bedeutung, diese Nuancen zu verstehen. Um das Risiko zu mindern, sollten Sie regelmäßig auf Ticket-Anomalien achten, die Zeitsynchronisation zwischen den Servern sicherstellen und die Anmeldedaten für Dienstkonten überprüfen. Wenn Unternehmen die besonderen Merkmale von Golden- und Silver-Ticket-Angriffen erkennen, können sie ihre Abwehr verstärken und ein widerstandsfähigeres Netzwerk gegen Kerberos-basierte Angriffe sicherstellen.
Zusätzliche Ressourcen
