Böswillige Akteure versuchen stets, neue Wege zur Kompromittierung der Sicherheit zu finden, die sie dann zu ihrem eigenen Vorteil ausschöpfen können. Als Ansatzpunkt verwenden sie dafür häufig den Authentifizierungsprozess im Netzwerk. Durch Fälschen oder Ändern der Anmeldedaten verschaffen sich die Angreifer Zugang zu den privaten Daten eines Unternehmens.
Eine solche Methode zur Erlangung der Authentifizierung ist ein Silver Ticket-Angriff. Ähnlich wie bei einem Golden Ticket-Angriff werden die Anmeldedaten bei einem Silver Ticket-Angriff über das Kerberos-Protokoll kompromittiert. Jedes Unternehmen sollte Maßnahmen ergreifen, um Silver Ticket-Angriffe zu verhindern und darauf zu reagieren.
Was ist ein Silver Ticket-Angriff?
Im Bereich Cybersicherheit bezieht sich der Begriff „Ticket“ auf eine Nummer, die von einem Netzwerkserver als Nachweis über die Authentifizierung oder Autorisierung erstellt wird. Ein Silver Ticket ist ein gefälschtes Authentifizierungsticket. Es wird häufig dadurch erstellt, dass ein Angreifer ein Kontokennwort stiehlt. Silver Ticket-Angriffe nutzen diese Authentifizierung, um sogenannte Ticket-Granting-Service-Tickets zu fälschen. Ein gefälschtes Service-Ticket ist verschlüsselt und ermöglicht den Zugriff auf die Ressourcen des Service, auf den der Silver Ticket-Angriff abzielt.
Wie bei anderen Arten von Ticket-Angriffen nutzt auch der Silver Ticket-Angriff die Kerberos-Schwachstelle aus. Bei diesem als Kerberoasting bezeichneten Vorgang werden Kennwort-Hashes für Microsoft Active Directory-Benutzerkonten erfasst, und zwar durch Ausnutzung des Kerberos-Netzwerksicherheitsprotokolls, das Serviceanfragen anhand von Geheimschlüssel-Kryptografie authentifiziert. Nicht nur Silver Ticket-Angriffe, auch Golden Ticket- und Diamond Ticket-Angriffe machen sich diese Schwachstelle zunutze.
Bei einem Diamond Ticket-Angriff wird ein echtes Ticket Granting Ticket entschlüsselt und neu verschlüsselt, sodass es vom Angreifer genutzt werden kann. Durch einen Golden Ticket-Angriff erlangt ein Angreifer Zugriff auf die Zieldomäne. Silver Tickets sind auf eine konkretere Nutzung ausgerichtet, aber in den Händen böswilliger Angreifer dennoch ein gefährliches Tool.
So funktionieren Silver Ticket-Angriffe
Um einen Silver Ticket-Angriff ausführen zu können, muss ein Angreifer bereits die Kontrolle über ein kompromittiertes Ziel in der Systemumgebung haben. Diese ursprüngliche Kompromittierung kann durch eine beliebige Art von Cyberangriff oder Malware erfolgen. Sobald der Angreifer sich Zugang verschafft hat, wird schrittweise der Silver Ticket-Angriff zur Fälschung der Anmeldedaten für die Autorisierung durchgeführt.
Schritt 1: Es werden Informationen zur Domäne und zum anvisierten lokalen Service erfasst. Dazu gehören die Ermittlung der Sicherheitskennung der Domäne und der DNS-Name des Service, der angegriffen werden soll.
Schritt 2: Mithilfe eines Tools wird der lokale NTLM-Hash bzw. der Kennwort-Hash des Kerberos-Service erfasst. Ein NTLM-Hash kann über den lokalen Service Account- oder Sicherheitskonto-Manager eines kompromittierten Systems erlangt werden.
Schritt 3: Das unverschlüsselte Kennwort wird mithilfe von Kerberoasting über den NTLM-Hash abgerufen.
Schritt 4: Es wird ein Kerberos-Ticket-Granting-Service gefälscht, sodass der Angreifer die Authentifizierung beim anvisierten Service durchführen kann.
Schritt 5: Die gefälschten Tickets werden genutzt, um finanzielle Vorteile zu erzielen oder ein System zu beschädigen, je nachdem, welches Ziel ein Angreifer verfolgt.
Sobald der Angreifer das gefälschte Silver Ticket hat, kann er Code ausführen, der aussieht, als stamme er vom betroffenen lokalen System. Anschließend kann der Angreifer seine Zugriffsrechte auf dem lokalen Host ausweiten und sich lateral in der kompromittierten Umgebung bewegen oder sogar ein Golden Ticket erstellen. Dadurch erhält er Zugang, der weit über den ursprünglich anvisierten Service hinausgeht – dies ist zudem eine Taktik zur Umgehung von Cybersicherheitsmaßnahmen.
Verhindern von Silver Ticket-Angriffen
Wie können Sie also Credential Dumping-Angriffe wie Silver Tickets unterbinden? Indem Sie entweder sicherstellen, dass Angreifer keine Kennwortdaten abrufen können, oder aber den Zugriff eines gefälschten Tickets beschränken. Um zu verhindern, dass das Kerberoasting erfolgreich ist, können Ihre Entwickler beispielsweise die Software so programmieren, dass Daten im Speicher verschlüsselt werden. Ebenso können Sie Methoden entwickeln, die vertrauliche Daten wie Kennwörter regelmäßig löschen.
Durch Einrichtung eines Least-Privilege-Modells für Benutzer beschränken Sie den Administratorzugriff und die Anzahl der Administratorkonten auf Domänenebene und können die Eskalation von Silver Ticket-Angriffen verhindern. Ebenso können Sie durch Prüfung und Stärkung von Service Accounts sicherstellen, dass Kennwörter schwieriger zu finden sind und in einem Netzwerk nicht gemeinsam verwendet werden. Durch Validierung des Kerberos-Protokolls können Sie außerdem dafür sorgen, dass Tickets von einem legitimen Schlüsselverteiler ausgegeben werden.
Das Kerberos-Protokoll ist und bleibt dank Kryptografie, Geheimschlüsseln und Autorisierung durch Dritte eines der sichersten Verifizierungsprotokolle. Zum Schutz vor Angreifern ist es unerlässlich, Kerberos Silver Ticket-Angriffe zu verhindern und darauf zu reagieren.
Eindämmung von und Reaktion auf Silver Ticket-Angriffe
Silver Ticket-Angriffe sind gefährlich, weil sie die Active Directory-Sicherheit kompromittieren können. Gelingt es einem Angreifer, sich Zugriff auf das Active Directory zu verschaffen, kann er die meisten Cybersicherheitsmaßnahmen umgehen. Ihre Reaktion auf einen Silver Ticket-Angriff beeinflusst, wie gut Sie die Folgen eines solchen Angriffs für Ihr Unternehmen eindämmen können.
Ihr Cybersicherheitsteam muss bei einem Silver Ticket-Angriff sofort reagieren. Dazu gehört, dass verschiedene Fragen gestellt werden. Basierend auf den Antworten werden die Sicherheitsmaßnahmen entsprechend optimiert:
- Wie hat sich der Angreifer ursprünglich Zugang zum Netzwerk verschafft? Handelte es sich um einen Phishing-Angriff oder eine andere Art von Kompromittierung?
- Welche Konten hatte der Angreifer im Visier? Unterliegen diese den gleichen Sicherheitsmaßnahmen wie andere Konten im Unternehmen?
- Auf welche Daten konnte der Angreifer zugreifen? Welche Konsequenzen hat es, dass diese Daten sich in den Händen eines Bedrohungsakteurs befinden?
- Welche Assets wurden kompromittiert? War der Angriff auf den ursprünglich angegriffenen Dienst beschränkt oder fand ein Zugriff auf das Active Directory statt?
Sobald die Antworten auf diese Fragen vorliegen, kann das Cybersicherheitsteam Gegenmaßnahmen ergreifen. Die Auswirkungen eines Silver Ticket-Angriffs können zudem wie folgt eingedämmt werden:
- Aktivieren Sie die PAC-Validierung (Privileged Attribute Certificate) für Kerberos. Dies kann bei der Prävention und Erkennung von Silver Ticket-Angriffen hilfreich sein.
- Erstellen Sie mithilfe eines Kennwortdienstes eindeutige und starke Kennwörter, die nach dem Zufallsprinzip generiert werden. Legen Sie beispielsweise eine Mindestlänge von 30 Zeichen fest und ändern Sie die Kennwörter häufig.
- Stellen Sie sicher, dass kein Benutzer Administratorrechte hat, die über festgelegte Sicherheitsgrenzen hinausgehen. So wird verhindert, dass Silver Ticket-Angriffe über den ursprünglich anvisierten Service hinaus ausgeweitet werden.
Wenn Sie geeignete Maßnahmen ergreifen, kann Ihr Unternehmen einen Großteil der Silver Ticket-Angriffe von vornherein verhindern und schnell auf entdeckte Angriffe reagieren.