Kerberoasting ist eine Form von Cyberangriff, der auf Dienstkonten mit dem Kerberos-Authentifizierungsprotokoll abzielt. Angreifer nutzen das Authentifizierungsprotokoll aus, um Passwort-Hashes zu extrahieren und die Klartext-Passwörter zu knacken, die mit dem Konto verknüpft sind. Diese Angriffe sind weit verbreitet, da sie schwer zu erkennen und abzuwehren sein können. Ohne die Implementierung von Erkennungs- und Präventionstechniken wird Kerberoasting zu einer ernsthaften Bedrohung, da Cyberkriminelle hochprivilegierte Konten kompromittieren und möglicherweise eine Autorisierung für zukünftigen Zugriff einrichten können.
Lesen Sie weiter, um mehr über Kerberoasting-Angriffe zu erfahren und wie Sie Ihre Konten davor schützen können.
Was ist Kerberos?
Bevor Sie verstehen, was Kerberoasting-Angriffe sind, müssen Sie zunächst verstehen, was Kerberos ist und wie es funktioniert. Kerberos ist ein Authentifizierungsprotokoll für Computernetzwerke, das die Gültigkeit von Benutzern durch einen Ticket-Gewährungsdienst bestätigen soll. Dieses System besteht aus drei Haupt-Entitäten – dem Client, dem Server und einem Key Distribution Center (KDC).
Kerberos ist ein weit verbreitetes, integriertes Protokoll in Windows-Active Directory (AD)-Umgebungen. Es wird auch in anderen gängigen Betriebssystemen wie Apple macOS, Linux und FreeBSD verwendet.
Wie funktionieren Kerberoasting-Angriffe?
Das Verständnis des inneren Prozesses von Kerberoasting-Angriffen ist entscheidend, wenn Sie Präventionstechniken in die Tat umsetzen möchten. Im Folgenden finden Sie die typischen Schritte, die ein Angreifer unternimmt, um in Dienstkonten einzudringen.
1. Kompromittierung eines Kontos
Das erste, was der Angreifer tut, ist ein schwaches Dienstkonto ins Visier zu nehmen, das mit einem Service Principal Name (SPN) verknüpft ist. Dies ist eine einzigartige Identifikation, die Benutzern den Zugriff auf ein bestimmtes Konto ermöglicht. Angreifer greifen speziell auf SPNs zurück, da die Kerberos-Authentifizierung den SPN streng verwendet, um den Dienst für den Client zu erleichtern.
2. Anfordern mehrerer Tickets
Der Angreifer nutzt dann das kompromittierte Konto und gibt sich als der Kontobenutzer aus, um zahlreiche Tickets vom Key Distribution Center (KDC) anzufordern, einer Domäne, die kontrolliert, wer auf ein Netzwerk zugreifen kann.
3. Entschlüsselung des Passworts und Brute-Force-Angriffe
Sobald der Angreifer ein Ticket vom Ticket Granting Service (TGS) erhält, extrahiert er es und verwendet eine Vielzahl von Offline-Tools und Techniken, um das Passwort zu entschlüsseln. Brute-Force-Angriffstechniken werden oft verwendet, um den Passwort-Hash zu knacken. Bei dieser Methode müssen Sie zahlreiche Passwortkombinationen eingeben, bis die richtige gefunden wird.
4. Vollen Zugriff auf den Server erhalten
Nachdem ein Angreifer erfolgreich in das Konto eingedrungen ist, kann er auf alle Netzwerke, Ressourcen, Informationen und Daten zugreifen. In den meisten Fällen gewähren sich Angreifer höhere Kontoprivilegien, mit denen sie auf sensiblere Daten zugreifen, böswillige Aktionen ausführen und Hintertüren für künftigen Zugriff einrichten können.
So erkennt man Kerberoasting
Die frühzeitige Erkennung von Kerberoasting-Angriffen kann helfen, den Schaden zu minimieren. Im Folgenden finden Sie zwei Anzeichen, auf die Sie achten sollten, die auf einen Kerberoasting-Angriff hinweisen können.
RC4-Verschlüsselung
RC4-Verschlüsselung ist aufgrund ihrer Einfachheit und Geschwindigkeit eine der häufigsten Stream-Chiffren. Angreifer verwenden diese Technik in der Regel, um Daten zu verschlüsseln und Brute-Force-Angriffe durchzuführen. Wenn Sie daher Ticket-Anfragen erhalten, die mit einem RC4-Verschlüsselungsalgorithmus verschlüsselt sind, sollten Sie als erster Schritt die Verwendung von RC4 für die Kerberos-Authentifizierung sofort deaktivieren.
Ungewöhnliche Anzahl von TGS-Anfragen
Wenn Sie eine ungewöhnliche Anzahl von Service-Anfragen für Ticket-Gewährung erhalten, sollten Sie sofort nachsehen. Eine gute Praxis ist die Festlegung einer Grundlage dafür, was ein abnormales Anforderungsvolumen ist. Dies schafft eine bessere Struktur und Sicherheit insgesamt.
Wie man Kerberoasting verhindert
Kerberoasting-Angriffe können einschüchternd erscheinen, machen Sie sich aber keine Sorgen. Es gibt mehrere Möglichkeiten, um sich und Ihr Unternehmen davor zu schützen. Im Folgenden finden Sie fünf Best Practices, um diese Angriffe zu vermeiden.
Erstellen Sie starke Passwörter
Eine der einfachsten und effektivsten Möglichkeiten, um Kerberoasting zu verhindern, ist die Verwendung starker Passwörter, da Passwörter in der Regel das erste Ziel für Cyberangriffe sind. Eine solide grundlegende Barriere zu haben, macht es für Angreifer schwieriger und Ihr Unternehmen weniger anfällig. Ein starkes Passwort sollte einzigartig, komplex und lang sein. Die Verwendung eines einfachen Passworts, das persönliche Daten oder gängige Sequenzen enthält, kann leicht zu merken sein, gilt aber als schwaches Passwort. Schwache Passwörter können leicht gehackt werden, was das Risiko erhöht, gehackt zu werden.
Ein starkes Passwort sollte eine zufällige Kombination aus Zahlen, Buchstaben und Symbolen enthalten. Erwägen Sie die Verwendung eines Password Managers, einem Tool, das kompromittierte Konten verhindern soll, indem es alle Ihre Passwörter an einem Ort generiert und sicher speichert.
Aktivieren Sie MFA
Die Multifaktor-Authentifizierung (MFA) ist eine zusätzliche Sicherheitsebene, bei der Benutzer zusätzlich zu ihrem Benutzernamen und Passwort zusätzliche Informationen eingeben müssen. Dieser zusätzliche Schritt des Nachweises Ihrer Identität reduziert das Gesamtrisiko einer Sicherheitsverletzung. Es gibt verschiedene Arten von Authentifizierungsfaktoren wie einen Einmalcode, biometrische Authentifizierung, einen geografischen Standort oder eine Sicherheitsfrage. Da viele Menschen schwache Passwörter verwenden, ist die Aktivierung von MFA eine zusätzliche Maßnahme, um Ihr Konto zu schützen.
Folgen Sie dem Prinzip der geringsten Rechte (PoLP)
Dem Prinzip der geringsten Privilegien zu folgen, ist ein grundlegendes Konzept, da es den Zugriff von Benutzern nur auf ihre wesentlichen Systemressourcen und Funktionen beschränkt. Durch die sorgfältige Verwaltung bestimmter Zugriffsrechte und Berechtigungen reduzieren Unternehmen das Risiko von Datenschutzverletzungen und die potenziellen Auswirkungen eines solchen Verstoßes, wenn es erfolgreich ist.
Identitätssicherheitsstrategie
Eine starke Strategie für das Identitäts- und Zugriffsmanagement ist ein umfassendes Framework und eine Reihe von Standardpraktiken, die zum Schutz eines Unternehmens beitragen. Sie kann Richtlinien und Verfahren enthalten, um sicherzustellen, dass nur autorisierte Personen Zugriff auf die Dienste des Unternehmens haben. Ein gängiger Weg, um sich dieser Strategie zu nähern, ist die Implementierung einer Privileged Access Management (PAM)-Lösung. PAM-Lösungen konzentrieren sich auf die Beschränkung und Überwachung der privilegierten Konten eines Unternehmens, die Zugriff auf sensible Daten haben. Anstatt diese privilegierten Benutzer manuell zu verwalten, bietet PAM eine produktivere und einfachere Lösung.
Vermeiden Sie Kerberoasting-Angriffe mit Keeper
Mit einem schwachen Passwort und fehlender Überwachung können Kerberoasting-Angreifer leicht Zugriff auf kritische Konten erhalten und Ihrem Unternehmen erheblichen Schaden zufügen. In der heutigen Cybersicherheitsumgebung ist der Schutz vor Kerberoasting-Angriffen für die Aufbewahrung sensibler Daten von entscheidender Bedeutung.
Mit der PAM-Lösung der nächsten Generation, KeeperPAM™, können Unternehmen jeden privilegierten Benutzer verfolgen und schützen, indem sie Enterprise Password Management (EPM), Keeper Secrets Management (KSM) und Keeper Connection Management (KCM) in einer einzigen Plattform kombinieren.
Um zu sehen, wie KeeperPAM Ihr Unternehmen vor Kerberoasting-Angriffen schützen kann, fordern Sie noch heute eine Demo an.