Was ist ein Kerberoasting-Angriff?

Kerberoasting kommt immer häufiger vor. Laut dem X-Force Threat Intelligence Index haben die Sicherheitsanalysten von IBM® X-Force zwischen 2022 und 2023 einen Anstieg der Kerberoasting-Vorfälle um 100 % festgestellt. Diese Zunahme ist Teil eines generellen Trends, bei dem Hacker legitime Konten zum Einbruch in Netzwerke missbrauchen. Verbesserungen bei der Netzwerk- und Endpunktsicherheit haben direkte Angriffe sehr viel schwieriger werden lassen.

Die Beliebtheit von Kerberoasting wird durch einige zusätzliche Faktoren verstärkt. Viele Verzeichnisdienste und Cloud-Computing-Systeme verwenden Kerberos. Und das bedeutet, dass Hacker das Protokoll ausnutzen können, um sich Zugang zu kritischer Netzwerkinfrastruktur zu verschaffen.

Insbesondere ist Kerberos ein Standard in Microsoft Windows Active Directory, weshalb viele Kerberoasting-Angriffe auf Active-Directory-Domains abzielen. Außerdem haben manuell erstellte Servicekonten meist schwache Passwörter und hohe Privilegien, was sie zu attraktiven Zielen macht. 

Kerberoasting-Angriffe sind schwer zu erkennen, weil sie sich das Design von Kerberos zu Nutze machen. Der verdächtigste Teil eines Kerberoasting-Angriffs, nämlich das Entschlüsseln der gestohlenen Tickets, findet offline statt. Cybersecurity-Experten können die Möglichkeit des Kerberoasting nicht vollständig ausschließen, aber proaktive Abwehrmaßnahmen ergreifen, um die Bedrohung einzudämmen.

Kerberoasting ist in der Regel eher ein Mittel zur Privilegienerweiterung als eine Einbruchstaktik. Nachdem ein Hacker die Kontrolle über ein Domain-Benutzerkonto erlangt hat, um in das Netzwerk einzudringen, verwendet er Keberoasting zur Ausdehnung seiner Reichweite.

Die meisten Kerberoasting-Angriffe folgen der gleichen grundlegenden Methode:

1. Ein Hacker nutzt ein kompromittiertes Konto, um Kerberos-Service-Tickets zu erlangen. 
   
2. Der Hacker überträgt diese Tickets auf einen Computer, der ihm gehört und sich außerhalb des von ihm angegriffenen Netzwerks befindet.
   
3. Der Hacker entschlüsselt die Tickets und erhält so die Passwörter der Servicekonten, über welche die mit den einzelnen Tickets verbundenen Dienste laufen.
   
4. Der Hacker meldet sich mit den Anmeldedaten der Servicekonten im Netzwerk an und missbraucht deren Berechtigungen, um sich im Netzwerk zu bewegen und Schaden anzurichten.

Um zu verstehen, warum Keberoasting funktioniert, muss man zunächst die Grundlagen von Kerberos verstehen.

Kerberos ist ein Authentifizierungsprotokoll, das Benutzern und Diensten (wie Anwendungen, Datenbanken und Servern) eine sichere Authentifizierung und Kommunikation innerhalb von Active Directory und anderen Domains ermöglicht.

Der Kerberos-Authentifizierungsprozess verwendet ein Ticketingsystem. Das Herzstück dieses Systems ist das Key Distribution Center (KDC), das auf dem Domain Controller des Netzwerks betrieben wird. 

Das KDC ist im Wesentlichen der Pförtner der Domain. Er authentifiziert Benutzer und Dienste im Netzwerk und stellt ihnen Tickets aus. Tickets sind Berechtigungsnachweise, mit denen die Identität von Benutzern nachgewiesen wird und die ihnen den Zugriff auf andere Ressourcen im Netzwerk ermöglichen. Die Benutzer und Dienste tauschen diese Tickets aus, um sich gegenseitig zu verifizieren.

Wenn sich ein Benutzer bei einer Domain anmeldet, authentifiziert er sich zunächst am KDC und erhält ein sogenanntes Ticket Granting Ticket (abgekürzt TGT). Mit diesem TGT kann der Benutzer den Zugriff auf Domain-Services anfordern.

Wenn der Benutzer auf einen Service zugreifen möchte, sendet er eine Anforderung an den Ticket-Granting Service (TGS) des KDC. Das TGT begleitet diese Anfrage, um die Identität des Benutzers zu bestätigen.

Als Antwort stellt das KDC ein Service-Ticket aus, auch „TGS-Ticket“ genannt, das mit dem Passwort des Servicekontos verschlüsselt ist. Dies geschieht, um sicherzustellen, dass nur der Zieldienst die Zugriffsanfrage des Benutzers validieren kann. Der Benutzer legt dieses Service-Ticket dem Zielservice vor, der den Benutzer authentifiziert und eine sichere Sitzung einleitet.

Es gibt einige Aspekte in der Gestaltung von Kerberos, die es anfällig für Kerberoasting machen.

Erstens prüft das KDC nicht, ob Benutzer zum Zugriff auf einen Dienst berechtigt sind. Jeder Benutzer kann ein Ticket für jeden Dienst anfordern. Es obliegt den einzelnen Diensten, die Berechtigungen durchzusetzen und nicht autorisierte Benutzer zu sperren. Daher müssen Hacker nicht die Konten von Domainadministratoren oder anderen privilegierten Benutzern kapern. Jedes kompromittierte Konto funktioniert.

Zweitens muss jeder Dienst in einer Kerberos-Domain mit einem Servicekonto verknüpft sein, das für die Ausführung des Dienstes in der Domain verantwortlich ist. Servicekonten ermöglichen es Kerberos, Dienste zu authentifizieren, Service-Tickets auszustellen und Sicherheitskontrollen durchzusetzen. Diese Konten bieten auch Hackern ein Ziel, da sie in der Regel über hohe Privilegien verfügen.

Drittens werden Kerberos-Tickets verschlüsselt, wobei die Passwort-Hashes der zugehörigen Konten als Schlüssel verwendet werden. Wichtig für das Kerberoasting ist, dass die Service-Tickets die Passwort-Hashes der entsprechenden Servicekonten verwenden.

Kontopasswörter sind praktische symmetrische Verschlüsselungscodes, da nur das KDC und der zugehörige Service dieses Passwort kennen sollten. Da Tickets jedoch mit Passwort-Hashes verschlüsselt werden, können Hacker die Passwörter von Servicekonten zurückentwickeln, indem sie die Verschlüsselung eines Tickets knacken.

Außerdem ist bei manuell konfigurierten Servicekonten häufig die Option „Passwort läuft nie ab“ aktiviert. In lange bestehenden Netzwerken kann dies bedeuten, dass Servicekonten sehr alte Passwörter verwenden, die veralteten Sicherheitsrichtlinien folgen und somit leicht zu knacken sind.

Obwohl Kerberoasting normalerweise ein kompromittiertes Domain-Benutzerkonto erfordert, hat der Sicherheitsforscher Charlie Clark eine Angriffstechnik entdeckt, mit der Hacker unter den richtigen Bedingungen Service-Tickets auch ohne ein gekapertes Konto stehlen können.^.1

Bevor ein Benutzer Service-Tickets erhalten kann, muss er sich beim KDC authentifizieren und ein TGT erhalten, mit dem er den Service-Zugang anfordern kann. Mit Hilfe des Kerberos-Exploitation-Tools Rubeus konnte Clark diese anfängliche Authentifizierungsanfrage so abändern, dass ein Service-Ticket anstelle eines TGTs angefordert wurde. Es funktionierte, und das KDC antwortete mit einem Service-Ticket.

Diese Methode hat jedoch nur begrenzte Anwendungsmöglichkeiten. Damit die Technik funktioniert, muss der Hacker vorgeben, die Authentifizierungsanfrage von einem Konto zu senden, das keine Vorauthentifizierung in Kerberos erfordert. Konten, die eine Vorauthentifizierung erfordern, was bei den meisten der Fall ist, benötigen Benutzeranmeldeinformationen, um überhaupt die erste von Clark geänderte Authentifizierungsanforderung zu senden. Dennoch eröffnet diese Technik ein potenzielles Einfallstor für Angreifer.

Hacker haben bei einigen der bedeutendsten Cyberangriffe der letzten Jahre Kerberoasting-Techniken eingesetzt.

Bei dem SolarWinds-Angriff 2020 verbreiteten russische Hacker Malware, indem sie diese als legitimes Update für die Orion-Infrastrukturmanagement-Plattform von SolarWinds tarnten. Die Hacker drangen in mehrere Unternehmen und Regierungsbehörden ein, darunter das US-Außen- und Justizministerium. Nach Angaben von Mitre nutzten die Hacker Kerberoasting, um ihre Privilegien in den kompromittierten Systemen zu erweitern.²

Ebenso nutzen Hacker, die mit der Ransomware Akira in Verbindung gebracht werden, häufig Kerberoasting zur Erweiterung ihrer Reichweite und zur Aufrechterhaltung des Zugriffs auf die von ihnen gekaperten Netzwerke. Bis April 2024 hat Akira 250 Organisationen weltweit angegriffen und insgesamt 42 Millionen US-Dollar an Lösegeldzahlungen erpresst.³

Golden-Ticket-Angriffe zielen zwar auch auf Kerberos-Authentifizierungsprozesse ab, unterscheiden sich aber vom Keberoasting.

Beim Kerberoasting stehlen und knacken Hacker Tickets, um Passwörter ausfindig zu machen und Dienstkonten zu übernehmen.

Bei einem Golden-Ticket-Angriff verschafft sich ein Hacker zunächst Administrator-Rechte in einer Domain. Dies ermöglicht ihm den Zugriff auf das Passwort des krbtgt-Kontos, das vom KDC zur Verschlüsselung von TGTs verwendet wird. Der Hacker nutzt diese Privilegien, um gefälschte Kerberos-Tickets zu erstellen, mit denen er sich als beliebiger Benutzer ausgeben und praktisch uneingeschränkten Zugriff auf Netzwerkressourcen erhalten kann.

Kerberoasting-Angriffe sind schwer zu erkennen, weil die Angreifer einen Großteil ihrer Zeit mit der Tarnung als legitime Konten verbringen. Ihre Ticketanfragen vermischen sich mit echten Anfragen, wobei das eigentliche Knacken der Passwörter außerhalb des Netzwerks stattfindet.

Dennoch gibt es Tools und Verfahren, die Unternehmen zur Verringerung der Wahrscheinlichkeit eines erfolgreichen Angriffs und zum besseren Abfangen von Kerberoasting-Versuchen einsetzen können.

Da Kerberoasting-Angriffe die Kontrolle über Domainkonten übernehmen, kann der Schutz dieser Konten durch erweiterte IAM-Kontrollen zur Vereitelung von Verstößen beitragen.

Starke Passwortrichtlinien und -praktiken, einschließlich zentraler Lösungen zur Passwortverwaltung, können Hackern das Knacken von Passwörtern erschweren. Das MITRE ATT&CK-Framework empfiehlt zum Beispiel, dass Passwörter für Servicekonten mindestens 25 Zeichen lang und ausreichend komplex sein sowie regelmäßig geändert werden sollten.⁴

In Active Directory können Unternehmen gruppenverwaltete Servicekonten verwenden. Dabei handelt es sich um Servicekonten, die automatisch Passwörter erstellen, verwalten und regelmäßig ändern, sodass die Administratoren die Passwörter nicht manuell verwalten müssen.

Eine starke Authentifizierung, wie die adaptive oder Multifaktor-Authentifizierung (MFA), kann auch zum Schutz von Benutzerkonten vor Diebstahl beitragen. Allerdings ist die Verwendung von MFA für Servicekonten oft schwierig und ineffizient.

Tools zur Verwaltung des privilegierten Zugriffs können dazu beitragen, die Anmeldeinformationen privilegierter Konten, wie z. B. Kerberos-Servicekonten und andere begehrte Ziele, zusätzlich zu schützen.

Indem Sie die Privilegien von Servicekonten auf die erforderlichen Berechtigungen beschränken, können Unternehmen den Schaden minimieren, den Hacker durch die Kompromittierung dieser Konten anrichten können.

Außerdem können Servicekonten auf nicht-interaktive Anmeldungen und nur auf bestimmte Dienste und Systeme beschränkt werden.

Böswillige Ticketanfragen vermischen sich oft mit legitimen Anfragen, wobei Hacker allerdings verräterische Anzeichen hinterlassen können. So könnte ein Konto, das viele Tickets für viele Dienste gleichzeitig anfordert, einen Kerberoasting-Angriff durchführen.

Ereignisprotokolle wie Windows Event Viewer oder ein SIEM-System (Security Information and Event Management) können Sicherheitsteams bei der Erkennung verdächtiger Aktivitäten helfen. Tools zur Überwachung von Benutzern, wie z. B. eine Lösung zur Analyse des Benutzerverhaltens (User Behaviour Analytics, UBA), können zur Aufdeckung von Hackern beitragen, die legitime Konten gekapert haben.

Sicherheitsteams können mehr Bedrohungen erkennen, wenn sie die Überwachungs-Tools auf ihre Informationssysteme abstimmen. Die Tools können beispielsweise so konfiguriert werden, dass jeder Versuch eines Servicekontos, sich außerhalb seines vordefinierten Bereichs anzumelden, einen Alarm auslöst und eine Untersuchung erfordert.

Viele Instanzen von Kerberos unterstützen weiterhin den RC4-Verschlüsselungsalgorithmus. Dieser ältere Verschlüsselungsstandard ist jedoch für Hacker relativ leicht zu knacken.

Die Aktivierung eines stärkeren Verschlüsselungstyps wie AES kann Hackern das Knacken von Tickets erschweren. 

Einige Unternehmen erstellen Honeytokens, gefälschte Domain-Konten, die kompromittiert werden sollen. Wenn Hacker ein Honeytoken angreifen, wird automatisch ein Alarm ausgelöst, damit das Sicherheitsteam handeln kann. 

Honeytokens sollen die Aufmerksamkeit von echten Konten ablenken, indem sie den Anschein erwecken, schwache Anmeldedaten und hohe Privilegien zu haben.