So können Sie sich vor dem Golden-Ticket-Angriff schützen
Was ist der Golden-Ticket-Angriff?
Das Konzept des Golden Tickets stammt von einem Sicherheitsforscher und Entwickler namens Benjamin Delpy. Dieser ist für die Entwicklung des leistungsstarken Post-Exploitation-Tools Mimikatz bekannt, einem Dienstprogramm zum Auslesen von Anmeldeinformationen, mit dem sich Windows-Kontoanmeldungen und Kennwörter im Klartext abrufen lassen.
Ein Golden-Ticket-Angriff nutzt Kerberos, den Standard-Authentifizierungsdienst für Active Directory, aus, indem er das Ticket-Granting-Ticket (TGT) eines Benutzers innerhalb der Domäne extrahiert – idealerweise eines Domänenadministrators. Diese bösartige Technik zielt auf KRBTGT ab, ein Dienstkonto, das in allen Domänen im Active Directory vorhanden ist und vom Key Distribution Center (KDC) verwendet wird, welches für die Ausstellung und Verwaltung von Kerberos-Tickets zuständig ist. Das ultimative Ziel ist es, uneingeschränkten Zugang zum Netzwerk zu erhalten, der bis zu 10 Jahre gültig sein kann.
Wie funktioniert ein Golden-Ticket-Angriff?
1. Administrative Rechte erlangen
Um einen Golden-Ticket-Angriff durchzuführen, benötigt ein Angreifer Zugriff auf das Active Directory Ihrer Organisation, indem er sich Administratorrechte oder Zugriff auf einen Domänencontroller verschafft.
2. Hash extrahieren
Sobald der Angreifer einen Domain Controller kompromittiert hat, besteht der nächste Schritt darin, den NTLM-Hash, der in der NTDS.DIT Datei gespeichert ist, mit Hilfe des Open-Source-Tools Mimikatz aus dem Key Distribution Center (KDC) zu extrahieren. Das KDC ist ein Dienstkonto, das für die Erstellung eines Authentifizierungstokens verantwortlich ist und als Ticket-Granting-Ticket (TGT) bekannt ist. Es bedient Benutzeranfragen, indem es ein Authentifizierungs-Token anfordert, das vom Ticket-Granting-Service (TGS) verwendet wird, um Benutzern Zugriff auf bestimmte Ressourcen in der Domäne zu gewähren.
3. Das Golden Ticket fälschen
Mit dem extrahierten Hash des KRGTGT-Dienstkontos erstellt der Angreifer ein gefälschtes Ticket-Granting-Ticket (TGT), das sogenannte Golden Ticket. Dieses gefälschte TGT hat mehrere kritische Attribute, darunter einen gefälschten Sitzungsschlüssel und eine Signatur, die mit dem Passwort-Hash des KRBTGT-Kontos verschlüsselt ist. Das Golden Ticket ermöglicht es dem Angreifer, sich als einen beliebigen Benutzer innerhalb der angegriffenen Active Directory-Domäne auszugeben.
4. Unberechtigten Zugriff erlangen
Bewaffnet mit dem Golden Ticket kann sich der Angreifer im Netzwerk bewegen, ohne die Anmeldedaten des rechtmäßigen Benutzers zu benötigen. Er kann Service-Tickets für verschiedene Ressourcen innerhalb der Domäne anfordern, die ihm uneingeschränkten Zugriff gewähren. Das gefälschte TGT stellt ein scheinbar legitimes Autorisierungs-Token dar, das es dem Angreifer ermöglicht, sich lateral im Netzwerk zu bewegen, sensible Daten zu kompromittieren oder unentdeckt bösartige Aktivitäten durchzuführen.
5. Dauer des Angriffs
Nicht ohne Grund ist die Persistenz, also die Zeitspanne, ein beliebtes Mittel der Angreifer. Das Golden Ticket ist eine Kopie des Schlüssels, mit dem sich ein Dieb jederzeit Zugang zu Ihrem „Haus“ verschaffen kann. Im Gegensatz zu herkömmlichen Angriffen, die auf gestohlenen Anmeldeinformationen basieren, bleibt das Golden Ticket so lange gültig, bis das Passwort der Domäne geändert wird. In der Regel wählen Angreifer beim Fälschen des Tickets eine kürzere Gültigkeitsdauer, um die Wahrscheinlichkeit entdeckt zu werden, zu minimieren.
Strategien zur Identifizierung von Golden-Ticket-Angriffen
Die Protokollierung ist entscheidend für die Erkennung bösartiger Aktivitäten in einer Active Directory (AD)-Umgebung, einschließlich Golden-Ticket-Angriffen. Durch die Implementierung einer gründlichen Protokollierung und effektiver Protokollanalysetechniken können Unternehmen ihre Reaktionsfähigkeit erheblich verbessern und Versuche krimineller Aktivitäten rechtzeitig verhindern.
Überwachen und analysieren Sie Kerberos-bezogene Protokolle, wie z. B. Sicherheitsereignisprotokolle (Ereignis-ID 4768, 4769, 4770) und Kerberos-Service-Ticket-Protokolle (Ereignis-ID 4769). Achten Sie auf Anomalien wie die Erstellung übermäßiger TGTs, TGTs, die für ungewöhnliche Benutzerkonten ausgestellt wurden, oder die unerwartete Nutzung von TGTs durch ein einzelnes Konto.
Die Protokollierung ist wichtig, da sie eine detaillierte Aufzeichnung der Benutzerauthentifizierung und der Ticket-Vergabeaktivitäten innerhalb von AD liefert. Durch die Überwachung dieser Protokolle können Sicherheitsteams verdächtige Muster oder Anomalien erkennen, die auf einen laufenden Golden-Ticket-Angriff hinweisen können. Eine ungewöhnlich hohe Anzahl von TGT-Anfragen eines einzelnen Benutzers oder wiederholte Authentifizierungsversuche von verschiedenen Standorten aus können zum Beispiel ein Warnsignal sein.
Darüber hinaus können Protokolle nicht autorisierte Änderungen oder Zugriffe auf den Domänencontroller aufzeigen, was auf Versuche hinweisen könnte, die notwendigen Informationen für die Erstellung von Golden Tickets zu extrahieren. Ungewöhnliche Kontoaktivitäten, wie z. B. Änderungen an privilegierten Konten oder Änderungen an Sicherheitsrichtlinien, können Frühindikatoren für einen möglichen Golden-Ticket-Angriff sein.
Sich mit dem Open-Source-Tool Mimikatz und seinen Funktionen vertraut zu machen, kann ein großer Vorteil bei der Verteidigung gegen Golden-Ticket-Angriffe sein. Die Erstellung von YARA-Regeln zur Erkennung von Mimikatz-Aktivitäten kann dazu dienen, bestimmte Zeichenketten, Codemuster oder Verhaltensweisen zu identifizieren, die mit dem Tool in Verbindung stehen. Diese Regeln können auf Indikatoren wie spezifische Funktionsnamen, Befehlszeilenparameter oder eindeutige Zeichenketten abzielen, die Mimikatz während seiner Ausführung erzeugt.
Wie man sich gegen Golden-Ticket-Angriffe verteidigt
Der erste Schritt zur Verteidigung gegen Golden-Ticket-Angriffe ist die Implementierung des Zero-Trust-Modells, was bedeutet, dass keinem Benutzer oder Gerät vertraut werden sollte, wenn seine Anfrage nicht verifiziert und authentifiziert wurde. Da diese Form des Angriffs voraussetzt, dass der Angreifer den Domänencontroller bereits kompromittiert hat, ist die Anwendung strenger Zugriffskontrollen und die fortlaufende Authentifizierung und Überprüfung bei der Bekämpfung von Golden-Ticket-Angriffen von Vorteil.
Weitere wichtige Schritte, die zu beachten sind:
- Die Sensibilisierung und Schulung der Benutzer ist eine wichtige Präventivmaßnahme gegen jede Form von Angriffen auf Ihr Unternehmen. Fördern Sie die Awareness Ihrer Mitarbeiter zum Thema Phishing-Kampagnen, da 95 % der Angriffe durch das Öffnen einer bösartigen E-Mail erfolgen;
- Regelmäßiges Patchen und Überwachen der Kontobewegungen des Domain Controllers. Wenden Sie Sicherheits-Patches umgehend an und führen Sie kontinuierlich Schwachstellen-Scans durch, um den Angreifern einen Schritt voraus zu sein;
- Erkennen von Indikatoren für eine Kompromittierung sowohl der DC- als auch der KRBTGT-Konten, indem ungewöhnliches Verhalten wie das Zurücksetzen von Passwörtern, wiederholte Authentifizierungsanfragen oder die Sperrung von Konten festgestellt wird;
- Überwachen Sie die Lebensdauer von TGTs. Obwohl Angreifer gerne Golden Tickets mit kurzer Gültigkeitsdauer verwenden, um nicht entdeckt zu werden, ist es sinnvoll, auf eine übermäßige Ausstellung von TGTs und das Auftreten von gefälschten Tickets zu achten. Es empfiehlt sich, die Gültigkeitsdauer von TGTs mit den üblichen Werten zu vergleichen, um Anomalien oder eine ungewöhnlich lange Gültigkeitsdauer festzustellen.
Für einen umfassenden Überblick über Cybersicherheitsrisiken auf der Grundlage der Analyse von 25 Milliarden E-Mails werfen Sie einen Blick auf unseren kostenlosen Cyber Security Report 2023.
To properly protect and train your employees against cyber security threats, use Hornetsecurity Security Awareness Service as we work hard perpetually to give our customers confidence in their Spam & Malware Protection and Advanced Threat Protection strategies. To keep up to date with the latest articles and practices, pay a visit to our Hornetsecurity blog now.
Fazit
Der Golden-Ticket-Angriff, der das Kerberos-Authentifizierungssystem ausnutzt, stellt eine erhebliche Bedrohung für die Sicherheit dar. Ein gefälschtes Ticket-Granting-Ticket (TGT) wird mit gestohlenen Anmeldeinformationen des Domain Controllers erstellt.
Golden Tickets ermöglichen es Angreifern, uneingeschränkt in die anvisierte Domäne einzudringen und Authentifizierungsschutzmaßnahmen zu umgehen. Um die mit Golden-Ticket-Angriffen verbundenen Gefahren zu erkennen und zu verringern, sind Achtsamkeit, robuste Sicherheitsverfahren und eine kontinuierliche Überwachung erforderlich.
FAQ
Dieser Begriff wird metaphorisch verwendet, um den mächtigen und uneingeschränkten Zugang zu beschreiben, den sich ein böswilliger Angreifer verschafft, um normale Sicherheitsmaßnahmen zu umgehen und Kontrolle über das Netzwerk auszuüben, als ob er die höchste Autoritätsebene besäße. Ein Golden-Ticket-Angriff ist eine Möglichkeit, Persistenz zu erlangen, sobald sich ein Angreifer als Domänenadministrator Zutritt zum Active Directory verschafft hat. Dieses „magische“ Ticket wird unter Ausnutzung von Kerberos erstellt, einem Authentifizierungsprotokoll, das eine sichere Kommunikation zwischen verschiedenen Entitäten, z. B. einem Client und einem Server, über ein unsicheres Netzwerk ermöglicht.
Der Hauptunterschied zwischen Golden- und Silver-Ticket-Angriffen ist der Umfang des Zugangs, den sie innerhalb einer Organisation ermöglichen. Ein Silver Ticket gewährt keinen vollständigen Zugriff auf Domänenebene, sondern ist eher diskret, indem es sich als ein spezifischer Benutzer für einen bestimmten Dienst oder eine bestimmte Ressource ausgibt. Das bedeutet, dass Silver-Ticket-Angriffe erstellt werden können, ohne mit einem Domain Controller zu kommunizieren – das macht sie unauffälliger.
Die Erkennung von Golden-Tickets umfasst die Überwachung von Ereignisprotokollen für Ereignis-ID 4768 (Kerberos-TGT-Anforderung), die Überprüfung auf anormale Ticket-Lebensdauern, den Vergleich von Verschlüsselungstypen, die Analyse des Kerberos-Verkehrs, die Überwachung von Domain-Controller-Aktivitäten, die Durchführung von Sicherheitsaudits und die Analyse des Benutzerverhaltens. Beobachtung und umfassende Überwachung sind der Schlüssel zur Erkennung dieser großen Sicherheitsbedrohungen.
Damit der Golden-Ticket-Angriff erfolgreich ist, muss der Angreifer bereits administrativen Zugriff auf einen Domain Controller haben. Der Angreifer nutzt dann das Kerberos-Authentifizierungsprotokoll aus, indem er den Hash des KRBTGT-Dienstkontos ausspäht, das vom Key Distribution Center-Dienst verwendet wird. Dieser Dienst ist für die Erstellung eines Ticket-Granting-Tickets (TGT) verantwortlich.