Scroll Top

Pass-the-Ticket Angriffe

Pass-the-Ticket Angriffe
IQ Story 12. Juni 2024

Pass-the-Ticket (PtT) Angriffe sind eine ernstzunehmende Bedrohung für die AD-Sicherheit. Diese Art von Angriff nutzt Kerberos-Tickets, um sich unberechtigten Zugang zu Ressourcen im Netzwerk zu verschaffen. Heute schauen wir uns an, wie erfahrene Administratoren solche Angriffe erkennen und abwehren können.

Was ist ein Pass-the-Ticket Angriff?

Ein Pass-the-Ticket Angriff beruht auf der Manipulation von Kerberos-Tickets. Dabei erzeugt ein Angreifer selbst ein manipuliertes Ticket und nutzt dieses, um sich als ein legitimer Benutzer auszugeben, ohne die zugehörigen Anmeldeinformationen zu kennen.

Grundlegender Ablauf eines PtT-Angriffs:

  1. Ticket Beschaffung: Der Angreifer erlangt ein gültiges Ticket (Golden-TGT oder Silver-TGS).
  2. Ticket Wiederverwendung: Der Angreifer nutzt dieses Ticket, um sich gegenüber anderen Diensten im Netzwerk zu authentifizieren.
  3. Zugriff erlangen: Der Angreifer hat nun Zugang zu den Ressourcen, die dem ursprünglichen Ticket-Inhaber zugänglich waren.

Um beispielsweise ein TGT zu generieren, werden folgende Informationen benötigt:

  • Domänen-SID
  • Domänen-Name
  • NTLM oder AES-Hash des krbtgt-Kontos
  • Zusätzliche RIDs

Pass-the-Ticket Angriffe sind häufig Teil eines mehrstufigen Angriffs. Beispielsweise wird im Vorfeld über einen Pass-the-Hash Angriff das NTLM-Hash des krbtgt-Kontos erfolgt, in dessen Zuge dann da ein Golden-TGT oder Silver-TGS ausgestellt werden kann. Im Anschluss kann ein Skeleton Key platziert werden, um dauerhaften Zugriff auf das Admin–Konto zu erhalten.

Über andere Active Directory Angriffsvektoren spreche ich hier: „10 Schwachstellen, die Ihre Active Directory verwundbarer machen

Technische Details

Kerberos-Grundlagen

Um die Funktionsweise eines PtT-Angriffs vollständig zu verstehen, ist es wichtig, die Grundlagen des Kerberos-Authentifizierungsprozesses zu kennen:

  • Ticket Granting Ticket (TGT): Wird vom Key Distribution Center (KDC) nach erfolgreicher Authentifizierung ausgegeben und ermöglicht es dem Benutzer, Service-Tickets zu erhalten.
  • Service Ticket (TGS): Wird für den Zugang zu spezifischen Diensten verwendet.

Angriffsvektor: Ticket Extraktion

Ein Angreifer kann verschiedene Techniken nutzen, um ein gültiges Ticket aus dem LSASS-Speicher zu extrahieren. Ein gängiger Ansatz ist die Verwendung von Tools wie Mimikatz oder Rubeus.

Beispiel: Extraktion eines Kerberos-Tickets mit Mimikatz

mimikatz # sekurlsa::tickets /export

Dieser Befehl exportiert alle Tickets, die im Speicher gefunden werden können. Der Angreifer kann das exportierte Ticket dann wiederverwenden.

Ticket-Injektion

Nachdem der Angreifer ein Ticket extrahiert hat, kann er es auf einem anderen System injizieren, um Zugang zu erhalten. Auch hier kann Mimikatz genutzt werden:

Beispiel: Injektion eines TGT mit Mimikatz

mimikatz # kerberos::ptt <path-to-ticket>

Dieser Befehl injiziert das gestohlene Ticket in die aktuelle Session.

Erkennung und Abwehr von Pass-the-Ticket Angriffen

Erkennung

Ein gut ausgeführter PtT-Angriff ist nur schwer zu erkennen, da die Angreifer ein gültiges Ticket nutzen. Das genaue Monitoring bestimmter Ereignisse und Anomalien im Netzwerk ist daher von größter Wichtigkeit:

  • Ungewöhnliche Logins: Logins, die von ungewöhnlichen Geräten oder zu ungewöhnlichen Zeiten erfolgen.
  • Event Logs: Überwachung der Event IDs 4624 (Anmeldung erfolgreich) und 4769 (TGS-Anforderung), um ungewöhnliche Aktivitäten zu identifizieren.
  • Kerberos-Logs: Spezifische Ereignisse wie 4768 (TGT-Anforderung) können Hinweise auf verdächtige Aktivitäten liefern.

Abwehrstrategien

Um Pass-the-Ticket (PtT) Angriffe effektiv abwehren zu können, bedarf es einer Kombination aus präventiven Maßnahmen, Monitoring und Reaktionsstrategien. Hier sind einige erweiterte Abwehrstrategien für erfahrene Active Directory (AD) Administratoren:

1. Härtung der Systeme

Eine der grundlegendsten Maßnahmen ist die Härtung aller Systeme im Netzwerk. Dazu gehören:

  • Zyklische Änderung des Userkennwortes des Users krbtgt: Alle 12 Stunden sollte das Kennwort vom User krbtgt geändert werden.
  • Regelmäßige Updates und Patches: Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen regelmäßig aktualisiert werden, um bekannte Schwachstellen zu beheben.
  • Minimierung der Angriffsfläche: Deaktivieren Sie unnötige Dienste und Protokolle, die von Angreifern ausgenutzt werden könnten.

2. Einsatz von Least Privilege

Minimieren Sie die Anzahl der Benutzer mit administrativen Rechten. Nutzen Sie dafür:

  • Gruppenrichtlinien (GPOs): Implementieren Sie strikte Gruppenrichtlinien, um Benutzerrechte zu beschränken.
  • Just Enough Administration (JEA): Verwenden Sie JEA, um minimale administrative Aufgaben zu delegieren.

3. Kerberos-Preauthentifizierung

Die Aktivierung der Kerberos-Preauthentifizierung erhöht die Sicherheit erheblich, da sie es Angreifern erschwert, gültige Tickets zu erlangen.

Schritt-für-Schritt-Anleitung zur Aktivierung:

  1. Öffnen Sie Active Directory Users and Computers.
  2. Navigieren Sie zum Benutzerkonto, für das die Preauthentifizierung aktiviert werden soll.
  3. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften.
  4. Wechseln Sie zur Registerkarte Account.

Aktivieren Sie die Option Account options: Do not require Kerberos preauthentication.

4. Network Segmentation

Durch die Segmentierung des Netzwerks können Sie den Zugriff auf kritische Ressourcen einschränken und so das Risiko eines erfolgreichen Angriffs reduzieren.

Implementierungsschritte:

  • Zonenbasierte Segmentierung: Teilen Sie das Netzwerk in Zonen (z.B. Produktions-, Entwicklungs- und Verwaltungszone) und kontrollieren Sie den Datenfluss zwischen diesen Zonen mittels Firewalls.

Virtual Local Area Networks (VLANs): Nutzen Sie VLANs, um physisch getrennte Netzwerke zu erstellen.

5. Überwachung und Anomalieerkennung

Ein effektives Monitoring-System ist entscheidend, um verdächtige Aktivitäten frühzeitig zu erkennen.

Tools und Techniken:

  • Windows Event Logs: Überwachen Sie spezifische Event-IDs, wie 4624 (Anmeldung erfolgreich) und 4769 (TGS-Anforderung).
  • SIEM-Systeme (Security Information and Event Management): Nutzen Sie SIEM-Lösungen, um Log-Daten zu sammeln, zu korrelieren und zu analysieren. Bekannte SIEM-Tools sind Splunk, ArcSight und QRadar.

Beispiel: Erstellen einer Alarmregel in Splunk:

index=wineventlog EventCode=4624 OR EventCode=4769 

| stats count by host, user, EventCode 

| where count > 100

6. Einsatz von Endpoint Detection and Response (EDR)

EDR-Lösungen bieten erweitertes Monitoring und Schutz auf Endgeräten. Sie helfen, verdächtige Aktivitäten zu erkennen und zu stoppen.

Beispielhafte EDR-Lösungen:

  • Microsoft Defender for Endpoint: Bietet umfassenden Schutz und erweiterte Erkennungsfähigkeiten.

CrowdStrike Falcon: Bekannt für seine schnellen Reaktionszeiten und detaillierte Bedrohungsanalyse.

7. Implementierung von Multi-Faktor-Authentifizierung (MFA)

MFA erhöht die Sicherheit erheblich, indem es eine zusätzliche Authentifizierungsebene hinzufügt.

Implementierungsschritte:

  1. Konfigurieren Sie Azure AD MFA: Für Cloud-basierte Benutzer.

Konfigurieren Sie On-Premises MFA: Nutzen Sie Lösungen wie Duo Security oder RSA SecureID.

8. Regelmäßige Schulungen und Awareness-Programme

Erfahrene Administratoren sollten kontinuierlich geschult werden, um auf dem neuesten Stand der Sicherheitstechniken und -praktiken zu bleiben.

Schulungsressourcen:

  • Microsoft Learn: Bietet umfassende Kurse zu AD-Sicherheit und Kerberos.

IQunit Active Directory 2025 Schulung: Unsere Schulung befasst sich mit der Bereinigung, Optimierung und Transition historisch gewachsener Active Directories, um einen sicheren Weiterbetrieb zu gewährleisten.

Beispielkonfiguration für Kerberos-Preauthentifizierung

Um die Kerberos-Preauthentifizierung zu aktivieren, können Sie die folgenden Schritte in der Active Directory Benutzer- und Computerverwaltung durchführen:

  1. Öffnen Sie Active Directory Users and Computers.
  2. Navigieren Sie zum Benutzerkonto, für das die Preauthentifizierung aktiviert werden soll.
  3. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften.
  4. Wechseln Sie zur Registerkarte Account.
  5. Aktivieren Sie die Option Account options: Do not require Kerberos preauthentication.

Durch diese Einstellung wird die Preauthentifizierung für das Konto aktiviert und erschwert es Angreifern, gültige Tickets zu extrahieren.

Weitere Sicherheitsmaßnahmen für Ihre Active Directory finden Sie hier: „Active Directory Security Best Practices

Fazit

Pass-the-Ticket Angriffe sind eine ernstzunehmende Bedrohung in Active Directory Umgebungen. Durch das Verständnis der zugrunde liegenden Mechanismen und die Implementierung geeigneter Sicherheitsmaßnahmen können Administratoren ihre Netzwerke jedoch effektiv schützen. Regelmäßige Schulungen und Awareness-Programme sind entscheidend, um das Wissen und die Fähigkeiten der Administratoren ständig auf dem neuesten Stand zu halten.

Wie IQunit Sie unterstützen kann 

Als langjährige IT-Experten bieten wir IT-Schulungen für Professionals. Im Rahmen unserer 5-tägigen Essential Active Directory 2025 Schulung lernen Sie die Bereinigung, Optimierung und Transition eines Active Directory auf Domain Controller mit dem Betriebssystem Windows Server 2025. 

Mehr zu unserem Workshop erfahren Sie hier: Essential Active Directory 2025 Schulung 

Related Posts

Skeleton Key Angriff
11 Juli 2024
Kerberoasting
Kerberoasting
0
13 Okt. 2023
Golden Ticket Angriff
11 Juli 2024
Active Directory Security Best Practices
0
24 Apr. 2024
Silver Ticket Angriff
11 Juli 2024
10 Schwachstellen, die Ihr Active Directory verwundbar machen
24 Apr. 2024
PowerShell
Spaß mit Kerberos V5 (mal wieder)
0
22 Aug. 2023
LOM
Become an invisible admin
0
14 März 2024
DCShadow-Angriffe erkennen und sich dagegen verteidigen
03 Sep. 2024
Pass-the-Hash Angriffe
12 Juni 2024