Scroll Top

Silver Ticket Angriff

Silver Ticket Angriff
Allgemein IQ Story 11. Juli 2024

Was ist ein Silver Ticket Angriff?

Ein Silver Ticket Angriff ist eine spezialisierte Methode im Bereich der Kerberos-Angriffe, bei der ein Angreifer ein gefälschtes Service Ticket (TGS – Ticket Granting Service) erstellt, um sich Zugang zu spezifischen Diensten innerhalb eines Active Directory (AD) Netzwerks zu verschaffen. Anders als der Golden Ticket Angriff, der den Zugriff auf das Kerberos Ticket Granting Ticket (TGT) erfordert und somit den gesamten Domain Controller gefährdet, zielt der Silver Ticket Angriff auf die Schwächen von Service Accounts und deren Passwörtern ab. Durch die Manipulation dieser Tickets kann ein Angreifer sich unautorisierten Zugang zu bestimmten Ressourcen verschaffen, ohne das gesamte AD kompromittieren zu müssen.

Wie unterscheidet sich ein Silver Ticket Angriff von einem Golden Ticket Angriff?

Der Unterschied zwischen einem Golden Ticket und einem Silver Ticket Angriff liegt in den benötigten Zugangsdaten und den Auswirkungen des Angriffs.

Golden Ticket Angriff

Erfordert Zugriff auf das KRBTGT-Konto, das den Kerberos TGT-Schlüssel enthält. Mit diesem Schlüssel kann ein Angreifer gefälschte TGTs erstellen, die unbegrenzten Zugriff auf alle Ressourcen im Netzwerk gewähren. Diese Methode ermöglicht eine vollständige Kompromittierung des AD und stellt eine der gravierendsten Bedrohungen dar.

Silver Ticket Angriff

Benötigt lediglich den NT-Hash oder das Passwort eines spezifischen Service Accounts. Der Angreifer erstellt ein gefälschtes TGS, das nur für den angegriffenen Dienst gültig ist. Diese Methode ist zielgerichteter und schwerer zu erkennen, da sie keine Manipulation des TGT erfordert und somit die Kerberos-Infrastruktur weniger offensichtlich beeinflusst.

Wie wird ein Silver Ticket Angriff durchgeführt?

Um einen Silver Ticket Angriff erfolgreich durchzuführen, sind mehrere Schritte erforderlich:

1. Beschaffung des Service Account Hashes: Zuerst muss der Angreifer den NTLM-Hash oder das Passwort des Service Accounts oder eines Computerkontos erlangen. Dies kann durch verschiedene Techniken geschehen:

  • Credential Dumping: Tools wie Mimikatz können verwendet werden, um Anmeldeinformationen aus dem Speicher eines kompromittierten Systems zu extrahieren.
  • Brute-Force-Angriffe: Durch Ausprobieren vieler Passwörter kann der Angreifer den richtigen Hash herausfinden.
  • KerberRoasting: Durch mathematische Schwachstellen im Algorithmus RC4 kann auf das Klartextkennwort zurückgerechnet werden.

2. Erstellung des gefälschten Tickets: Mit dem erlangten NTLM-Hash kann der Angreifer ein gefälschtes TGS erstellen. Hierbei kommt oft das Tool Mimikatz zum Einsatz. Der folgende Befehl zeigt, wie ein Silver Ticket generiert wird:

kerberos::golden /user:serviceaccount /domain:domain.local /sid:S-1-5-21-1234567890-123456789-1234567890 /rc4:serviceaccount_ntlm_hash /target:hostname /service:service /ptt

  • serviceaccount: Name des kompromittierten Service Accounts.
  • domain.local: Name der Domäne.
  • S-1-5-21-1234567890-123456789-1234567890: SID der Domäne.
  • serviceaccount_ntlm_hash: NTLM-Hash des Service Account Passworts.
  • hostname: Ziel-Host.
  • service: Ziel-Dienst (z.B. http, cifs).

Etwas eleganter ist jedoch das PowerShell-Skript RoadToRuin.

3. Einsetzen des gefälschten Tickets: Das gefälschte TGS wird dann verwendet, um sich bei dem spezifischen Dienst anzumelden. Dies kann ebenfalls mit Mimikatz oder durch direkte Konfiguration der Kerberos Tickets in Windows erfolgen:

kerberos::ptt silver_ticket.kirbi

 

Nachdem das Ticket angewendet wurde, hat der Angreifer Zugriff auf die Ressourcen, die durch den kompromittierten Service Account bereitgestellt werden.

Wie kann man Silver Ticket Angriffe verhindern?

Die Prävention von Silver Ticket Angriffen erfordert eine mehrschichtige Sicherheitsstrategie, die verschiedene Aspekte der AD-Umgebung abdeckt:

Starke Passwortpolitik und regelmäßige Passwortänderung

Eine robuste Passwortpolitik ist entscheidend. Passwörter für Service Accounts sollten komplex, lang und regelmäßig geändert werden. Automatisierungstools wie LAPS (Local Administrator Password Solution) können hierbei hilfreich sein.

Verwendung von Managed Service Accounts (MSAs)

MSAs bieten automatisch verwaltete Passwörter, die regelmäßig geändert werden. Dies reduziert die Gefahr von kompromittierten Passwörtern erheblich. Es gibt zwei Arten von MSAs:

  • Standalone Managed Service Accounts (sMSAs)
  • Group Managed Service Accounts (gMSAs)
  • delegated Managed Service Accounts (dMSAs)

Beschränkung der Berechtigungen von Service Accounts

Service Accounts sollten nur die minimal erforderlichen Rechte besitzen. Prinzipien wie das Least Privilege Principle (PoLP) sollten strikt eingehalten werden, um das Risiko zu minimieren.

Implementierung von Monitoring und Auditing

Kontinuierliches Monitoring und Auditing sind unerlässlich, um verdächtige Aktivitäten zu erkennen. Tools wie Microsoft Advanced Threat Analytics (ATA) oder Azure Advanced Threat Protection (ATP) können helfen, Anomalien zu identifizieren und frühzeitig zu reagieren.

Patch-Management und Sicherheitsupdates

Regelmäßiges Patch-Management und die Installation von Sicherheitsupdates sind grundlegende Maßnahmen, um bekannte Sicherheitslücken zu schließen und das Risiko von Angriffen zu reduzieren.

Einsatz von Intrusion Detection und Prevention Systemen (IDPS)

IDPS können helfen, ungewöhnliche Aktivitäten zu erkennen und zu verhindern, bevor sie Schaden anrichten. Diese Systeme überwachen den Netzwerkverkehr und können verdächtige Muster identifizieren, die auf einen Angriff hindeuten.

Schulung und Sensibilisierung der Mitarbeiter

Mitarbeiter sollten regelmäßig geschult und für die Risiken und Methoden von Phishing und Social Engineering sensibilisiert werden. Ein gut informiertes Team ist eine wichtige Verteidigungslinie gegen Angriffe.

Isolierung und Segmentierung des Netzwerks

Durch die Segmentierung des Netzwerks kann der Schaden im Falle eines erfolgreichen Angriffs begrenzt werden. Kritische Ressourcen sollten in isolierten Segmenten gehalten werden, die nur über streng kontrollierte und überwachte Kanäle zugänglich sind.

Fazit

Ein Silver Ticket Angriff stellt eine ernstzunehmende Bedrohung für AD-Umgebungen dar. Durch das gezielte Ausnutzen von Schwachstellen in Service Accounts kann ein Angreifer spezifische Ressourcen kompromittieren, ohne die gesamte Domäne zu gefährden. Die Prävention solcher Angriffe erfordert eine umfassende Sicherheitsstrategie, die starke Passwortrichtlinien, den Einsatz von MSAs, regelmäßiges Monitoring und Auditing sowie Schulungen und Sensibilisierung der Mitarbeiter umfasst. Durch die Implementierung dieser Maßnahmen können Organisationen das Risiko von Silver Ticket Angriffen signifikant reduzieren und ihre AD-Umgebung besser schützen.

Wie IQunit Sie unterstützen kann

Als langjährige IT-Experten bieten wir IT-Schulungen für Professionals. Im Rahmen unserer 5 tägigen Essential Active Directory 2025 Schulung lernen Sie die Bereinigung, Optimierung und Transition  eines Active Directory auf Domain Controller mit dem Betriebssystem Windows Server 2025. 

Mehr zu unserem Workshop erfahren Sie hier: Essential Active Directory 2025 Schulung

Related Posts

Pass-the-Hash Angriffe
12 Juni 2024
Pass-the-Ticket Angriffe
DCShadow-Angriffe erkennen und sich dagegen verteidigen
03 Sep. 2024
Kerberoasting
Kerberoasting
0
13 Okt. 2023
Skeleton Key Angriff
11 Juli 2024
PowerShell
Spaß mit Kerberos V5 (mal wieder)
0
22 Aug. 2023
10 Schwachstellen, die Ihr Active Directory verwundbar machen
24 Apr. 2024
Active Directory Security Best Practices
0
Golden Ticket Angriff
11 Juli 2024