Daniel Petri | Senior Schulungsleiter

Das Scannen von Service Principal Name (SPN) ist eine Erkundungstechnik, die Angreifer in Active Directory-Umgebungen einsetzen. Diese Methode ermöglicht es Angreifern, wertvolle Dienste und zugehörige Konten zu entdecken, die potenzielle Ziele für weitere Angriffe wie Kerberoasting sein können.

Lesen Sie dazu: Schützen Sie Active Directory gegen Kerberoasting

Was ist ein SPN-Scan?

Das Verständnis und die korrekte Verwaltung von SPNs in Active Directory-Umgebungen ist unerlässlich, um eine sichere und nahtlose Kerberos-Authentifizierung für verschiedene Dienste innerhalb des Netzwerks zu gewährleisten.

In Active Directory-Kontexten sind SPNs eindeutige Bezeichner, die den Dienstinstanzen zugewiesen werden. SPNs werden bei der Kerberos-Authentifizierung verwendet, um eine Service-Instanz mit einem Service-Anmeldekonto zu verknüpfen. Diese Zuordnung ist wichtig, damit Kerberos in einer Active Directory-Umgebung korrekt funktioniert.

  1. Wenn ein Client auf einen Dienst auf einem Server zugreifen möchte, fordert er ein Dienstticket vom Key Distribution Center (KDC) an, das zu jedem Active Directory-Domänencontroller gehört.
  2. Der Client gibt den SPN des Dienstes an, auf den er zugreifen möchte. Der SPN identifiziert diese Service-Instanz eindeutig innerhalb der Domäne.
  3. Active Directory verwendet den SPN, um das zugehörige Dienstkonto zu finden, und erstellt ein Ticket, das mit den Anmeldedaten dieses Kontos verschlüsselt ist.
  4. Der Client legt dieses Ticket dann dem Dienst vor, der es mit seinen eigenen Anmeldeinformationen entschlüsseln kann und so die gegenseitige Authentifizierung sicherstellt.

Beim SPN-Scanning werden die SPNs aufgezählt, die in einer Active Directory-Domäne registriert sind. Angreifer scannen nach SPNs, um Dienstkonten zu finden, die möglicherweise über erhöhte Berechtigungen verfügen.

SPN-Scans sind oft heimlich. Die Technik umgeht Standard-Erkennungsmethoden, indem sie die legitimen Funktionen von Active Directory und Kerberos nutzt. Und im Gegensatz zu anderen Angriffen wird beim SPN-Scanning das Dienstkonto nicht sofort kompromittiert. Vielmehr legt es den Grundstein für nachfolgende Angriffe.

Wie funktioniert die SPN-Überprüfung?

Bestimmte Szenarien können Ihr Unternehmen besonders anfällig für SPN-Scans machen. Diese Schwachstellen zu verstehen, ist für IT- und Cybersicherheitsexperten, die ihre Verteidigung stärken wollen, von entscheidender Bedeutung.

Dienstkonten mit hohen Privilegien

Dienstkonten, die erhöhte Privilegien haben oder wichtige Dienste verwalten, sind Hauptziele für Angreifer, die SPN-Scans verwenden. Die Kompromittierung dieser Konten kann Bedrohungsakteuren breiten Zugang zum Netzwerk verschaffen. Benutzerkonten mit administrativen Rechten für wichtige Dienste sind ebenfalls gefährdet. Angreifer können diese Konten nutzen, um sensible Operationen durchzuführen oder auf wichtige Daten zuzugreifen.

Unzureichend gesicherte Konten und schwache Passwortpraktiken

Konten mit einfachen oder Standardpasswörtern sind besonders anfällig. SPN-Scans können zum Diebstahl von Zugangsdaten führen, wenn diese Passwörter leicht zu knacken sind.

Falsch konfigurierte oder übermäßige SPNs

Übermäßig viele oder falsch konfigurierte SPNs vergrößern die Angriffsfläche. Angreifer können diese SPNs nutzen, um potenzielle Ziele zu identifizieren. Darüber hinaus schafft eine schlechte Verwaltung von SPNs, wie z.B. das Versäumnis, SPNs für stillgelegte Dienste zu löschen, unnötige Sicherheitslücken.

Systeme mit sensiblen Daten oder kritischen Diensten

Datenreiche Umgebungen mit Systemen, die sensible Daten hosten (z.B. persönliche Informationen, Finanzdaten), sind einem höheren Risiko ausgesetzt, wenn die zugehörigen Dienstkonten kompromittiert werden. Kritische Infrastrukturdienste, die für den Netzwerkbetrieb entscheidend sind, wie z.B. Domain-Controller oder Datenbankserver, sind besonders anfällig, da ihre Kompromittierung weitreichende Auswirkungen haben kann.

Fehlen einer soliden Überwachung und Rechnungsprüfung

In Netzwerken ohne wirksame Überwachungs- und Auditing-Lösungen werden verdächtige Aktivitäten im Zusammenhang mit SPN-Scans möglicherweise nicht erkannt. Darüber hinaus ist es in Umgebungen ohne fortschrittliche Funktionen zur Erkennung von Anomalien weniger wahrscheinlich, dass ungewöhnliche Abfragemuster, die auf diese Technik hindeuten, erkannt werden.

Veraltete Systeme und überholte Sicherheitspraktiken

Veraltete Systeme, die nicht regelmäßig aktualisiert oder gepatcht werden, sind besonders anfällig für Angriffe, sobald ein Angreifer den ersten Zugang erlangt hat. Die Abhängigkeit von veralteten Sicherheitsprotokollen und -konfigurationen kann dazu führen, dass die Systeme anfällig für den Diebstahl von Zugangsdaten und seitliche Bewegungen sind.

Mangelndes Sicherheitsbewusstsein und mangelnde Schulung

Mitarbeiter, die sich nicht mit den besten Sicherheitspraktiken auskennen, insbesondere in Bezug auf die Sicherheit von Passwörtern und Phishing-Bedrohungen, können ungewollt die Anfälligkeit für SPN-Scans und nachfolgende Angriffe erhöhen.

SPN-Scan-Angriffsprozess

Wie also nutzen Bedrohungsakteure SPN-Scans, um ein Unternehmen anzugreifen? Die folgenden Schritte sind typisch für dieses Szenario:

  1. Erste Erkundung und SPN-Aufzählung. Das primäre Ziel des Angreifers ist es, Dienstkonten zu identifizieren, insbesondere solche mit erhöhten Rechten. Angreifer verwenden häufig integrierte Windows-Tools wie setspn, PowerShell-Cmdlets (Get-ADServiceAccount, Get-ADUser) oder Tools von Drittanbietern, die speziell für die Abfrage von Active Directory zur SPN-Aufzählung entwickelt wurden. Diese Abfragen geben eine Liste von SPNs zurück, die mit verschiedenen Diensten in der Domäne verbunden sind.
  2. Identifizierung des Ziels. Anhand der aufgezählten SPNs identifiziert der Angreifer Dienstkonten und sucht insbesondere nach Konten, die möglicherweise schlecht gesichert sind, Zugriff auf eine hochrangige Domäne haben oder wahrscheinlich schwache Kennwörter besitzen. Bestimmte SPN-Diensttypen (z.B. MSSQLSvc für SQL-Server) können lukrativer sein, da sie möglicherweise auf kritischen Servern laufen.
  3. Angriff und Eskalation. Da der Angreifer nun Informationen über SPNs in Active Directory hat, kann er dieses Wissen nutzen, um Ihr Netzwerk anzugreifen:
    • Kerberoasting. Mit den identifizierten SPNs kann der Angreifer dann Kerberoasting durchführen, bei dem er Ticket Granting Service (TGS)-Tickets vom KDC für diese Dienste anfordert. Diese TGS-Tickets sind mit dem Passwort des Dienstkontos verschlüsselt. Der Angreifer extrahiert diese Tickets aus dem Speicher seines eigenen Computers oder eines kompromittierten Hosts.
    • Offline Brute-Force-Angriffe. Der Angreifer kann offline Brute-Force-Techniken verwenden, um den verschlüsselten Teil der TGS-Tickets zu knacken. Tools wie John the Ripper oder Hashcat werden häufig für diesen Zweck verwendet. Wenn dieser Angriff erfolgreich ist, wird das Kennwort des Servicekontos im Klartext enthüllt und der Angreifer erhält Zugriff auf das Servicekonto.
    • Eskalation. Mit der Kontrolle über ein Dienstkonto kann sich der Angreifer seitlich im Netzwerk bewegen und auf andere Systeme und Dienste zugreifen. Wenn das kompromittierte Konto über administrative Rechte verfügt, kann dies zu einer vollständigen Kompromittierung der Domäne führen.

Welche Risiken sind mit dem SPN-Scan verbunden?

Die Risiken, die mit SPN-Scans in Active Directory-Umgebungen verbunden sind, sind erheblich und vielschichtig.

Offenlegung von Zugangsdaten und Datenzugriff

SPN-Scans führen häufig zur Entdeckung von Dienstkonten, von denen einige möglicherweise über erhöhte Privilegien verfügen. Wenn diese Konten kompromittiert werden (z.B. durch nachfolgende Kerberoasting-Angriffe), erhalten Angreifer Zugriff auf wichtige Dienste und Daten. Dienstkonten haben häufig auch Zugriff auf sensible Daten. Ein Angreifer mit diesen Anmeldeinformationen kann auf vertrauliche Informationen zugreifen, was zu Datenschutzverletzungen führt.

Interne Erkundung und Netzwerkkartierung

Durch die Aufzählung von SPNs erhalten Angreifer wertvolle Informationen über die Struktur des Netzwerks, einschließlich der Serverrollen und Dienste, die in der Domäne laufen. Dieses Wissen erleichtert gezielte Angriffe. Angreifer können hochwertige Ressourcen wie Domain-Controller, Datenbankserver oder Anwendungsserver identifizieren, die bei zukünftigen Angriffen als primäre Ziele dienen können.

Seitliche Bewegung und Privilegieneskalation

Kompromittierte Dienstkonten, insbesondere solche mit weitreichendem Zugriff, ermöglichen es Angreifern, sich seitlich im Netzwerk zu bewegen und auf mehrere Systeme zuzugreifen. Wenn ein Dienstkonto über Administratorrechte verfügt, können Angreifer ihren Zugriff potenziell ausweiten, um die Kontrolle über große Teile des Netzwerks zu erlangen, einschließlich Domain-Controller.

Persistenz und kontinuierlicher Zugang

Mit gültigen Anmeldedaten können Angreifer eine langfristige Präsenz im Netzwerk aufbauen, was es schwierig macht, sie zu entdecken und zu entfernen. Und kompromittierte Dienstkonten können verwendet werden, um Hintertüren für einen ununterbrochenen Zugriff zu schaffen, selbst wenn der ursprüngliche Einstiegspunkt gesichert ist.

Umgehung traditioneller Sicherheitsmaßnahmen

SPN-Scans und nachfolgende Angriffe wie Kerberoasting nutzen oft legitime Funktionen von Active Directory und Kerberos aus, so dass sie mit herkömmlichen Sicherheitstools schwerer zu entdecken sind. Ordnungsgemäß konfigurierte Dienstkonten und Kerberos-Tickets sind in Active Directory-Umgebungen Standard. Durch ihren Missbrauch können Sicherheitsmaßnahmen umgangen werden, die auf die Erkennung offenkundiger bösartiger Aktivitäten ausgerichtet sind.

Unterbrechung des Geschäftsbetriebs

Die Kompromittierung kritischer Servicekonten kann den Betrieb stören und zu Ausfallzeiten und finanziellen Verlusten führen. Datenschutzverletzungen oder spürbare Unterbrechungen können auch den Ruf eines Unternehmens schädigen und das Vertrauen der Kunden untergraben.

Wie können Sie SPN-Scan-Angriffe erkennen?

Die Erkennung von SPN-Scan-Angriffen in Active Directory-Umgebungen erfordert eine Kombination aus fortschrittlicher Überwachung, ordnungsgemäßer Konfiguration und dem Bewusstsein für verdächtige Aktivitäten.

Zentraler Bestandteil dieses Ansatzes ist die Implementierung von fortschrittlichen Audits und Protokollüberwachung. Unternehmen sollten die Active Directory- und Server-Überwachung so konfigurieren, dass Zugriffsanfragen auf Servicekonten und SPN-Abfragen genauestens verfolgt werden. Gleichzeitig sollten sie die Sicherheitsprotokolle regelmäßig auf ungewöhnliche Muster überprüfen, z.B. auf eine hohe Anzahl von SPN-Abfragen von einem einzelnen Benutzer oder einer IP-Adresse.

Darüber hinaus ist der Einsatz von Systemen zur Erkennung von Anomalien und zur Analyse des Netzwerkverkehrs entscheidend. Sicherheitstools, die Anomalien im Netzwerkverhalten erkennen können, können in Kombination mit Lösungen zur Verhaltensanalyse Administratoren auf ungewöhnliche Muster aufmerksam machen, die auf Aufklärungsaktivitäten hinweisen könnten. Tools zur Netzwerküberwachung, die den Datenverkehr von und zu Domänencontrollern analysieren, können besonders aufschlussreich sein, da ein übermäßiger LDAP- oder Kerberos-Datenverkehr auf SPN-Scans oder Kerberoasting-Versuche hinweisen könnte.

Die Überwachung von Dienstkonten auf nicht-routinemäßige Nutzung und die Überprüfung von Diensten auf korrekte SPN-Konfigurationen können rote Fahnen aufdecken. Gleichzeitig können EDR-Tools (Endpoint Detection and Response), die Endgeräte auf die Verwendung von Hacking-Tools oder Skripten in Verbindung mit SPN-Scans überwachen, zusammen mit aktuellen Bedrohungsdaten wertvolle Erkenntnisse liefern.

Schließlich sorgen regelmäßige Audits und Konformitätsprüfungen dafür, dass Netzwerke Sicherheitsstandards und bewährte Praktiken einhalten, wodurch die mit SPN-Scans verbundenen Risiken gemindert werden.

Wie können Sie einen SPN-Scan-Angriff entschärfen?

Die Abschwächung von SPN-Scanning-Angriffen in Active Directory-Umgebungen erfordert eine Kombination aus strategischer Planung, soliden Sicherheitsverfahren und proaktiver Überwachung. Eine wirksame Entschärfung reduziert nicht nur das Risiko solcher Aufklärungsangriffe, sondern stärkt auch die allgemeine Sicherheitslage gegen eine Vielzahl von Bedrohungen.

Implementieren Sie strenge Sicherheitsrichtlinien für Dienstkonten

Der Schlüssel zur Eindämmung von SPN-Scans liegt darin, sicherzustellen, dass Dienstkonten über sichere, komplexe Passwörter verfügen und diese regelmäßig geändert werden. Die Durchsetzung von Richtlinien zur Passwortkomplexität verringert die Wahrscheinlichkeit einer Kompromittierung von Zugangsdaten.

Darüber hinaus sollten Dienstkonten nur die für ihre jeweilige Rolle erforderlichen Berechtigungen erhalten, wobei das Prinzip der geringsten Privilegien zu beachten ist. Dies reduziert den potenziellen Schaden, falls ein Konto kompromittiert wird.

Führen Sie regelmäßige Audits durch und bereinigen Sie SPNs

Die Durchführung regelmäßiger Audits von SPNs innerhalb der Active Directory-Umgebung kann Ihnen helfen, unnötige oder veraltete SPNs zu identifizieren und zu entfernen und so die Angriffsfläche zu verringern. Zu einer ordnungsgemäßen SPN-Verwaltung gehört auch das Löschen von SPNs für stillgelegte Dienste und die Sicherstellung, dass SPNs korrekt konfiguriert und mit den entsprechenden Dienstkonten verknüpft sind.
Verbessern Sie die Überwachung und Anomalieerkennung

Die Implementierung von fortschrittlichen Überwachungslösungen, die ungewöhnliche Muster von SPN-Abfragen erkennen können, ist von entscheidender Bedeutung. Richten Sie Warnmeldungen für anomale Aktivitäten ein, wie z.B. eine hohe Anzahl von SPN-Abfragen, die auf Aufklärungsbemühungen hinweisen können. Integrieren Sie Tools zur Erkennung von Anomalien in die Sicherheitsinfrastruktur, um Frühwarnsignale für potenzielle SPN-Scan-Aktivitäten zu liefern.

Sichere Endgeräte und Netzwerke

Verwenden Sie EDR-Lösungen und setzen Sie robuste Netzwerksicherheitsmaßnahmen ein, um das Risiko weiter zu mindern. EDR-Lösungen können Anzeichen einer Kompromittierung von Endgeräten erkennen und darauf reagieren. Netzwerksicherheitsmaßnahmen, einschließlich Firewalls und Intrusion Detection Systeme, können den Datenverkehr zu sensiblen Servern, insbesondere Domain Controllern, überwachen und kontrollieren.

Schulungen und Sensibilisierungsmaßnahmen durchführen

Die Aufklärung des IT-Teams und der Endbenutzer über die Art von SPN-Scanning-Angriffen und deren Indikatoren ist von entscheidender Bedeutung. Regelmäßige Schulungen und Aktualisierungen zu den neuesten Cyber-Bedrohungen, einschließlich SPN-Scanning, und die Förderung einer Kultur des Sicherheitsbewusstseins im gesamten Unternehmen sind grundlegende Schritte, um eine robuste Sicherheitslage zu fördern und die Mitarbeiter in die Lage zu versetzen, solche Bedrohungen zu erkennen und effektiv darauf zu reagieren.

Für Active Directory-Administratoren, die SPN-Scanning-Angriffen wirksam entgegenwirken möchten, ist ein umfassender und proaktiver Ansatz unerlässlich. Der Schlüssel zu dieser Strategie ist die Verbesserung der Sicherheit von Dienstkonten.

Diese Aufgabe beinhaltet die Erzwingung starker, komplexer Passwörter und die strikte Anwendung des Prinzips der geringsten Privilegien, um die Kontoberechtigungen auf das zu beschränken, was für die operativen Rollen erforderlich ist. Auch hier ist die regelmäßige Überprüfung der SPNs in Active Directory von entscheidender Bedeutung. Dazu gehört die Überprüfung und Entfernung veralteter oder unnötiger SPNs und die Überprüfung, ob vorhandene SPNs korrekt konfiguriert und mit den entsprechenden Dienstkonten verknüpft sind.

An der technischen Front ist die Aktivierung einer erweiterten Sicherheitsüberprüfung und Protokollierung von entscheidender Bedeutung. Administratoren sollten Richtlinien konfigurieren, um Zugriffsanfragen auf Servicekonten und SPN-Abfragen sorgfältig zu protokollieren und zu überwachen. Sie sollten diese Protokolle routinemäßig auf Anzeichen für ungewöhnliche Aktivitäten überprüfen, wie z.B. Spitzen im SPN-Abfragevolumen.

Die Implementierung von Tools zur Erkennung von Anomalien und zur Netzwerküberwachung wird die Verteidigung weiter stärken und ermöglicht die frühzeitige Erkennung von abnormalen Verhaltensmustern im Netzwerk, die auf Aufklärungsbemühungen hindeuten könnten. Gleichzeitig ist der Einsatz von EDR-Lösungen von entscheidender Bedeutung, insbesondere für die Überwachung von Anzeichen von Angriffstools oder ungewöhnlichen Skriptausführungen.

Weitere wichtige Schritte sind die Nutzung fortschrittlicher Active Directory-Sicherheitsfunktionen wie die Gruppe "Geschützte Benutzer" und Credential Guard sowie die Gewährleistung regelmäßiger System-Updates und Patches. Und schließlich sorgt die Entwicklung und das regelmäßige Testen eines genau definierten Reaktionsplans für potenzielle Sicherheitsverletzungen, einschließlich der Schritte, die im Falle einer SPN-Scan-Erkennung zu ergreifen sind, für Vorsorge und eine schnelle, effektive Reaktion auf Zwischenfälle.

Im Wesentlichen müssen Active Directory-Administratoren eine mehrschichtige Verteidigungsstrategie anwenden, die eine starke Verwaltung von Dienstkonten, ausgeklügelte Überwachungs- und Erkennungssysteme, regelmäßige Schulungen und Sensibilisierungsprogramme sowie die Verwendung fortschrittlicher AD-Sicherheitsfunktionen kombiniert, um die mit SPN-Scanning-Angriffen verbundenen Risiken wirksam zu mindern.

Schützen Sie Active Directory vor SPN-Scans

SPN-Scanning ist eine wichtige Aufklärungsmethode im Arsenal von Cyberangreifern. Diese ausgeklügelte Erkundungsmethode, die in erster Linie zur Identifizierung hochwertiger Ziele in Active Directory-Umgebungen eingesetzt wird, nutzt legitime Funktionen von Active Directory und Kerberos für böswillige Zwecke aus und dient oft als Vorstufe zu aggressiveren Angriffen. Das Verständnis, die Erkennung und die Entschärfung dieses Angriffs sind ein wichtiger Bestandteil einer robusten Cybersicherheitsstrategie für jedes Unternehmen, das sich auf Active Directory verlässt.

Verwandte Lektüre