Bei einem Golden Ticket Angriff erlangen Angreifer unbeschränkten Zugang auf eine Active Directory Domäne. Dafür erbeuten Sie den MD4-Kennwort-Hash vom Dienstkonto krbtgt aus dem Active Directory und erstellen darauf basierend ein gefälschtes Kerberos Ticket Granting Ticket (TGT). Dies erlaubt dem Angreifer, sich erfolgreich als beliebige Identität auszugeben einschließlich von Identitäten, welche im Active Directory nicht existieren. Zusätzlich können bei diesen beliebigen Identäten beliebige Gruppenmitgliedschaften gefälscht werden, inklusive eines Domain Admins oder eines Enterprise Admins, und somit Zugriff auf alle Ressourcen im Netzwerk zu erlangen.
Fun Fact am Rande:
Der Begriff Golden Ticket aus dem Buch “Charlie und die Schokoladenfabrik”, in welchem das Goldene Ticket eine exklusive Führung durch die Schokoladenfabrik sowie einen lebenslangen Vorrat an Schokolade gewährt.
Entwicklung des Golden Ticket Angriffs
Der Golden Ticket Angriff wurde durch Benjamin Delpy und sein Tool Mimikatz bekannt, das ursprünglich entwickelt wurde, um Sicherheitslücken in Windows aufzuzeigen. Mimikatz hat sich zu einem leistungsstarken Werkzeug entwickelt, das es Sicherheitsforschern und leider auch böswilligen Angreifern ermöglicht, Passwörter, Hashes, PINs und Kerberos-Tickets direkt aus dem Speicher eines Windows-Systems zu extrahieren.
Der Angriff auf Kerberos und die Erstellung von Golden Tickets wurde erstmals 2014 öffentlich bekannt, als Delpy demonstrierte, wie man mit Mimikatz gefälschte TGTs erstellen kann. Diese Demonstration zeigte eindrucksvoll, wie mächtig solche Angriffe sein können, und machte Sicherheitsadministratoren weltweit auf die Dringlichkeit aufmerksam, ihre Systeme zu schützen.
Wie verlaufen Golden Ticket Angriffe?
Ein Golden Ticket Angriff ist ein mehrstufiger Prozess. Für die Erstellung des TGT werden grundsätzlich folgende Informationen benötigt:
- Domänen-SID
- Domänen-Name
- NT-Hash des krbtgt Kontos
- Zusätzliche RIDs
Die Stufen eines Golden Tickets Angriffs sehen dann häufig so aus:
1. Kompromittierung eines Systems
Der erste Schritt ist die Kompromittierung eines Systems innerhalb des Zielnetzwerks. Dies kann durch verschiedene Angriffsvektoren geschehen, wie Phishing, Malware oder Exploits von Schwachstellen. Häufig erfolgt dieser initiale Zugang durch einen Pass-the-Hash Angriff, bei dem Angreifer gestohlene Hashes verwenden, um sich als legitime Benutzer auszugeben.
2. Erhöhung der Privilegien
Nachdem ein System kompromittiert wurde, muss der Angreifer seine Privilegien erhöhen, um Zugriff auf höher privilegierte Konten zu erhalten. Tools wie Mimikatz ermöglichen es, NTLM-Hashes und Kerberos-Tickets aus dem Speicher eines kompromittierten Systems zu extrahieren.
Ein Beispiel für die Verwendung von Mimikatz, um Anmeldeinformationen aus dem Speicher zu extrahieren, ist:
mimikatz # sekurlsa::msv
3. Pass-the-Hash (PtH) um einen „Domain Admin“ zu erbeuten.
Liegt der NT-Hash eines hochwertigen Benutzers vor, kann dieser innerhalb eines Augenblickes impersoniert werden. Hierzu benötigt der Angreifer noch zusätzlich den sAMAccoutnName des Zielusers und den Domänennamen.
Dieses kann ausgeführt werden durch, beispielsweise, das Tool mimikatz.
mimikatz# sekurlsa::pth /name:Administrator /domain:CLOUD-HYBRID.DE /ntlm:9af5c2c69b0f7894f010b2e81dbc14bb
3. Extraktion des KRBTGT Hashes
Der nächste kritische Schritt ist die Extraktion des Hashes des KRBTGT Accounts. Durch den Zugriff auf den NT-Hash dieses Kontos kann ein Angreifer universelle TGTs erstellen.
Mit Hilfe von DSInternals kann durch die Impersonierung als Mitglied der „Domain Admins“ das Replikat des Users krbtgt angefordert werden. Dieses Replikat enthält dann, unter anderem, den aktuelle MD4-Hash (NT-Hash)
Die Extraktion des KRBTGT Hashes mit DSInternals erfolgt wie folgt:
4. Erstellung des Golden Tickets
Mit dem extrahierten KRBTGT Hash kann der Angreifer ein Golden Ticket erstellen. Dieses gefälschte Ticket kann für eine beliebige Identität innerhalb des AD ausgestellt werden, einschließlich der eines Domain Admins.
Der Befehl zur Erstellung eines Golden Tickets mit Mimikatz sieht wie folgt aus:
mimikatz # kerberos::golden /user:Administrator /domain:yourdomain.local /sid:xxx /krbtgt:HASH /groups:xxx,xxx,xxx/ticket:xxx
In diesem Befehl werden verschiedene Parameter verwendet, um das Ticket anzupassen:
- kerberos::golden: erzeugt das TGT
- /user: Name des Users für das TGT
- /domain: FQDN der Zieldomain
- /sid: SID der Zieldomain
- /krbtg: NTLM-Hash
- /groups: RIDs der gewünschten Gruppen
- /ticket: Name der Ticket-Binärdatei
Um diesen Prozess zu vereinfachen kann man ein PowerShell-Skript zu Rate ziehen: RoadToRuin.ps1
5. Zugriff auf das Netzwerk
Mit dem erstellten Golden Ticket kann der Angreifer sich nun als beliebiger Benutzer ausgeben und Zugriff auf alle Ressourcen im Netzwerk erlangen. Dies schließt den Zugriff auf sensible Daten, das Ändern von Konfigurationen und sogar das Abschalten von Sicherheitssystemen ein.
Erkennung von Golden Ticket Angriffen
Das Erkennen eines Golden Ticket Angriffs ist herausfordernd, aber nicht unmöglich. Hier einige Indikatoren und Methoden zur Erkennung:
Anomalien in den Anmeldeprotokollen
Eine der effektivsten Methoden zur Erkennung von Golden Ticket Angriffen ist die Überwachung der Anmeldeprotokolle. Suchen Sie nach ungewöhnlichen Anmeldeaktivitäten, insbesondere von Konten, die normalerweise keine Admin-Rechte haben oder von unerwarteten IP-Adressen stammen.
Lange Lebensdauer von Tickets
Golden Tickets können eine sehr lange Lebensdauer haben, oft bis zu 10 Jahre. Normale Kerberos-Tickets haben eine viel kürzere Lebensdauer (meistens 10 Stunden). Überwachen Sie die Lebensdauer der Tickets und achten Sie auf ungewöhnlich lange Gültigkeitsdauern.
Ungewöhnliche SID-Historien
Überprüfen Sie die SID-Historie von Konten auf ungewöhnliche Einträge. Ein gefälschtes Ticket könnte eine ungewöhnliche oder ungültige SID enthalten.
Erkennungstools und Methoden
Verwenden Sie spezialisierte Tools und Methoden zur Erkennung von Anomalien und ungewöhnlichen Aktivitäten in Ihrem Netzwerk. Hier sind einige bewährte Tools und Techniken:
- Microsoft Advanced Threat Analytics (ATA): Ein Tool zur Erkennung verdächtiger Aktivitäten in Echtzeit, einschließlich Kerberos-bedingter Anomalien. Jedoch endete der Mainstream-Support hier am 12.01.2021. Unserer Erfahrung nach erkennt ATA ein Golden Ticket nur, wenn die Laufzeiten ungewöhnlich sind.
- SIEM-Systeme (Security Information and Event Management): Diese Systeme können große Mengen an Protokolldaten analysieren und Alarme für verdächtige Aktivitäten auslösen.
Kerberos Event Logs: Überwachen Sie spezifische Kerberos-Events, wie z.B. Event ID 4768 (TGT Request), 4769 (Service Ticket Request) und 4770 (Ticket Renewal).
Sicherheitsmaßnahmen gegen Golden Ticket Angriffe
Um sich effektiv gegen Golden Ticket Angriffe zu schützen, sollten Sie eine Kombination aus präventiven Maßnahmen und Überwachungstechniken implementieren:
Regelmäßiges Ändern des KRBTGT Passworts
Das regelmäßige Ändern des KRBTGT Passworts ist eine der effektivsten Methoden, um die Lebensdauer von gestohlenen Tickets zu begrenzen. Microsoft empfiehlt, das Passwort mindestens alle 180 Tage zu ändern. Beachten Sie jedoch, dass dieser Prozess sorgfältig geplant und durchgeführt werden muss, um sicherzustellen, dass alle Systeme weiterhin korrekt funktionieren.
Im Active Directory 2025-Workshop erfahren Sie, warum es ratsamer ist das Kennwort vom krbtgt alle 12 Stunden zu ändern.
Überwachung und Protokollierung
Implementieren Sie eine umfassende Überwachung und Protokollierung von Anmeldeversuchen und Aktivitäten im AD. Stellen Sie sicher, dass alle sicherheitsrelevanten Ereignisse erfasst und regelmäßig überprüft werden.
Überwachen Sie insbesondere wer über die beiden extended rights „Replicating Directory Changes“ und „Replicating Directory Changes All“ inne hält und hinterfragen Sie die Notwendigkeit hierzu.
Verwendung von Privileged Access Management (PAM)
Begrenzen Sie die Anzahl der Benutzer mit Admin-Rechten und verwenden Sie PAM-Lösungen, um diese Konten zu überwachen. PAM-Lösungen bieten zusätzliche Sicherheitskontrollen, wie z.B. Just-in-Time-Zugriff und Multi-Faktor-Authentifizierung.
Sicherheits-Patches und Updates
Stellen Sie sicher, dass alle Systeme auf dem neuesten Stand sind und dass alle Sicherheits-Patches angewendet wurden. Viele Angriffe nutzen bekannte Schwachstellen, die durch regelmäßige Updates geschlossen werden können.
Minimierung der Anzahl von Domain Admins
Reduzieren Sie die Anzahl der Benutzer, die Mitglied der Gruppe Domain Admins sind. Verwenden Sie stattdessen Delegationen und weniger privilegierte Gruppen für administrative Aufgaben.
Einsatz von Whitelisting und Blacklisting
Verwenden Sie Application Whitelisting, um nur autorisierte Anwendungen auf Ihren Systemen auszuführen, und Blacklisting, um bekannte bösartige Anwendungen zu blockieren.
Schulung und Sensibilisierung
Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Sicherheitsbewusstsein und Best Practices. Ein gut informierter Mitarbeiter kann dazu beitragen, Phishing-Versuche zu erkennen und zu vermeiden, die häufig der erste Schritt eines Angriffs sind.
Fazit
Golden Ticket Angriffe stellen eine erhebliche Bedrohung für Active Directory Umgebungen dar. Durch das Verständnis der Funktionsweise dieser Angriffe und die Implementierung geeigneter Sicherheitsmaßnahmen können Sie Ihr Netzwerk jedoch effektiv schützen. Es ist entscheidend, dass Sie sowohl präventive als auch detektivische Maßnahmen ergreifen, um das Risiko solcher Angriffe zu minimieren und schnell auf verdächtige Aktivitäten reagieren zu können.
Wie IQunit Sie unterstützen kann
Als langjährige IT-Experten bieten wir IT-Schulungen für Professionals. Im Rahmen unserer 5 tägigen Essential Active Directory 2025 Schulung lernen Sie die Bereinigung, Optimierung und Transition eines Active Directory auf Domain Controller mit dem Betriebssystem Windows Server 2025.
Mehr zu unserem Workshop erfahren Sie hier: Essential Active Directory 2025 Schulung
