Wussten Sie, dass 80 % aller Angriffe kompromittierte Identitäten ausnutzen und bis zu 250 Tage unbemerkt bleiben?
Leider ist es äußerst schwierig, identitätsbasierte Angriffe zu erkennen. Wenn die Anmeldedaten eines zulässigen Benutzers kompromittiert wurden und sich ein Bedrohungsakteur als dieser Benutzer tarnt, ist es mit den üblichen Sicherheitsmaßnahmen und -tools oft sehr schwer, zwischen dem typischen Verhalten des Benutzers und dem des Hackers zu unterscheiden.
Um die Identitätsbedrohungslandschaft besser zu verstehen, untersuchen wir sieben häufige identitätsbasierte Angriffe und ihre Funktionsweise.
Arten von identitätsbasierten Angriffen
1. Credential Stuffing
Der Begriff Credential Stuffing bezeichnet einen Cyberangriff, bei dem Cyberkriminelle versuchen, Zugang zu einem System mit den gestohlenen Anmeldedaten eines anderen Systems zu erlangen.
Credential Stuffing-Angriffe folgen einem relativ einfachen Angriffsmuster. Zunächst nutzen Angreifer gestohlene Anmeldedaten oder kaufen kompromittierte Anmeldedaten im Dark Web. Anschließend programmieren sie ein Botnet oder andere Automatisierungstools und führen Anmeldeversuche bei mehreren fremden Konten gleichzeitig durch. Dann prüft der Bot, ob Zugriff auf weitere Services oder Konten gewährt wurde. Wenn der Anmeldeversuch erfolgreich war, sammelt der Angreifer weitere Informationen wie persönliche Daten, gespeicherte Kreditkarteninformationen oder Bankverbindungen.
2. Golden Ticket-Angriffe
Ein Golden Ticket-Angriff ist ein Versuch, nahezu uneingeschränkten Zugriff auf eine Unternehmensdomäne zu erlangen. Dazu wird auf Benutzerdaten zugegriffen, die im Microsoft Active Directory (AD) gespeichert sind. Der Angriff nutzt Schwachstellen im Kerberos-Protokoll, das zur Identitätsauthentifizierung genutzt wird und den Zugriff auf das AD verwaltet. Die Schwachstellen ermöglichen es, die normale Authentifizierung zu umgehen.
Für einen Golden Ticket-Angriff benötigen Angreifer den vollständigen Domänennamen (Fully Qualified Domain Name, FQDN), den Sicherheitsidentifikator (SID) der Domäne, den KRBTGT-Kennwort-Hash und den Benutzernamen des Kontos, auf das sie zugreifen wollen.
3. Kerberoasting
Kerberoasting bezeichnet eine Post-Exploitation-Angriffstechnik, bei der das Kennwort eines Service Accounts im AD geknackt werden soll.
Bei diesem Angriff ahmen Angreifer einen Kontobenutzer mit einem Dienstprinzipalnamen (Service Principal Name, SPN) nach und fordern ein Ticket an, das ein verschlüsseltes Kennwort (oder Kerberos) enthält. (Ein SPN ist ein Attribut, das innerhalb des AD einen Service mit einem Benutzerkonto verbindet.) Danach versuchen die Angreifer, den Kennwort-Hash offline zu knacken (z. B. durch Brute-Force-Techniken).
Sobald die Angreifer die Anmeldedaten eines Service Accounts im Klartext haben, können sie sich als Kontobesitzer ausgeben.
Reduzieren von Active Directory-bezogenen Sicherheitsrisiken
Ein reibungsloser Ansatz für die Absicherung Ihres wichtigsten Identitätsspeichers
Jetzt herunterladen4. MITM-Angriffe (Man-in-the-Middle)
Ein Man-in-the-Middle-Angriff (MITM) ist eine Art von Cyberangriff, bei dem ein Angreifer den Austausch zwischen zwei Personen, zwei Systemen oder einer Person und einem System abfängt.
Das Ziel eines MITM-Angriffs besteht darin, persönliche Daten, Kennwörter oder Bankdaten zu erfassen und/oder das Opfer zu einer Aktion zu verleiten, beispielsweise zum Ändern der Anmeldedaten, zum Abschluss einer Transaktion oder zur Überweisung von Geldern.
5. Pass-the-Hash-Angriffes
Pass-the-Hash-Angriffe (PtH) sind Cyberangriffe, bei denen Angreifer „gehashte“ Benutzeranmeldedaten stehlen und damit eine neue Benutzersitzung im gleichen Netzwerk erstellen.
Der Angreifer verschafft sich in der Regel über eine Social-Engineering-Technik Zugriff auf das Netzwerk. Haben die Angreifer erst einmal Zugriff auf das Benutzerkonto, lesen sie den aktiven Speicher mit verschiedenen Tools und Techniken aus und suchen dort nach Hash-Werten.
Mithilfe eines oder mehrerer Kennwort-Hash-Werte erlangen sie vollständigen Zugriff auf das System und können sich lateral im Netzwerk bewegen. Während sich die Angreifer von einer Anwendung zur nächsten bewegen und als legitimer Benutzer ausgeben, sammeln sie oft weitere Hash-Werte aus dem System. Mit diesen können sie auf weitere Netzwerkbereiche zugreifen, Kontoberechtigungen erweitern, privilegierte Konten ins Visier nehmen und Backdoors einrichten, um langfristigen Zugang zu erhalten.
6. Password Spraying
Ein Passwort Spraying-Angriff ist eine Brute-Force-Technik, bei der ein Hacker ein einziges gemeinsames Kennwort für mehrere Konten verwendet.
Zunächst verschaffen sich die Angreifer eine Liste von Benutzernamen und versuchen dann, sich unter allen Benutzernamen mit dem gleichen Kennwort anzumelden. Der Prozess wird mit neuen Kennwörtern so lange wiederholt, bis das betroffene Authentifizierungssystem kompromittiert ist und die Angreifer Zugriff auf Konten und Systeme erlangt haben.
7. Silver Ticket-Angriff
Ein Silver Ticket ist ein gefälschtes Authentifizierungsticket. Es wird häufig dadurch erstellt, dass ein Angreifer ein Kontokennwort stiehlt. Silver Ticket-Angriffe nutzen diese Authentifizierung, um sogenannte Ticket-Granting-Service-Tickets zu fälschen. Ein gefälschtes Service-Ticket ist verschlüsselt und ermöglicht den Zugriff auf die Ressourcen des Service, auf den der Silver Ticket-Angriff abzielt.
Sobald der Angreifer das gefälschte Silver Ticket hat, kann er Code ausführen, der aussieht, als stamme er vom betroffenen lokalen System. Anschließend kann der Angreifer seine Zugriffsrechte auf dem lokalen Host ausweiten und sich lateral in der kompromittierten Umgebung bewegen oder sogar ein Golden Ticket erstellen. Dadurch erhält er Zugang, der weit über den ursprünglich anvisierten Service hinausgeht – dies ist zudem eine Taktik zur Umgehung von Cybersicherheitsmaßnahmen.
CrowdStrike Identity Protection
CrowdStrike Falcon® Identity Threat Protection (ITP) bietet äußerst präzise Bedrohungserkennung und Echtzeitschutz vor identitätsbasierten Angriffen. Ermöglicht wird dies durch eine Kombination aus hochentwickelter KI, Verhaltensanalysen sowie einem flexiblen Richtlinienmodul, das risikobasiert bedingten Zugriff gewährt.
Falcon ITP kann konsistente risikobasierte Richtlinien erzwingen, um die Authentifizierung für jede Identität automatisch zu blockieren, zuzulassen, zu prüfen oder zu verschärfen und gleichzeitig ein reibungsloses Anmeldeerlebnis für echte Benutzer zu gewährleisten.