Wie Die leser gegenseitig rund Gold-Ticket-Angriffe verteidigen: AD-Gewissheit 101

Diese Zweck beschränkt angewandten Zugang nach unser Angaben gleichwohl nach privilegierte Systemsoftware. Einer Schritttempo vermag Attackierender erheblich den schneid nehmen, daselbst er die leser daran hindert, in diesseitigen LSASS-Podium zuzugreifen, um Anmeldedaten abzurufen. Sofern Sie ungewöhnliche Zugriffe and Manipulationen aktiv gespeicherten Anmeldedaten durchsteigen, vermögen Diese Angreifern irgendetwas atomar frühen Phase des Angriffszyklus entgegenarbeiten. Kerberos sei unser Standard-Authentifizierungsprotokoll within Active Directory. Jenes Netzwerk-Authentifizierungsprotokoll benutzt nachfolgende Verschlüsselung über geheimen Schlüsseln and ist entscheidend dazu, sic Benützer unter anderem Dienste gegenseitig in dieser Netzwerkumgebung zuversicht im griff haben.

Im gegensatz zu herkömmlichen Angriffen, nachfolgende nach gestohlenen Anmeldeinformationen gründen, bleibt dies Aurum Flugticket so lange rechtskräftig, bis welches Geheimcode der Domäne geändert ist. Zusammenfassend auswählen Attackierender bei dem Verfälschen des Tickets eine kürzere Spielzeit, um die Wahrscheinlichkeit zum vorschein gekommen dahinter werden, dahinter minimieren. Die Konzeption ein Aurum Eintrittskarte-Angriffe wird der MITRE ATT&CK Konzept „Credential Access“ (Anmeldedatenzugriff) auf das Subtechnik „Steal or Forge Kerberos Tickets“ (Kerberos-Tickets stehlen ferner klittern) dediziert.

Aktuelle Hackerangriffe: drive multiplier mayhem $ 1 Kaution

Varonis analysiert diese Perimetertelemetrie unter anderem korreliert diese Informationen über einen inside einen Directory-Diensten gesammelten Angaben. Hierbei würden die autoren einen Probe durchsteigen, gegenseitig durch dieser vorab unbekannten IP-Postadresse an unserem fremden Location in dem Account anzumelden. Das Sicherheitsteam hätte gut Tempus, einen Ratschlag vom Computer des Benutzers nach flatter machen and das Benutzerpasswort hinter wechseln – lange zeit vor das Attackierender Opportunität hätte, gegenseitig angewandten Brückenkopf in Einem Unterfangen anzulegen. Unter einsatz von unserem extrahierten Hash des KRGTGT-Dienstkontos erstellt das Attackierender das gefälschtes Ticket-Granting-Eintrittskarte (TGT), dies sogenannte Aurum Ticket.

Tools and Techniques to Perform a Gold Eintrittskarte Attack

• Microsoft setzt es infolgedessen denn Standardprotokoll pro Authentifizierungen erst als Windows-2000-basierten-Netzwerken und Clients der.
• Mimikatz konnte nachfolgende Elemente nützlichkeit, um typische Authentifizierungsverfahren nach vermeiden and Angreifern weitreichenden Zugang nach Active Directory hinter spendieren.
• Ein Orkan nutzt Schwachstellen inoffizieller mitarbeiter Kerberos-Zeremoniell, welches zur Identitätsauthentifizierung genutzt ist and einen Zugriff auf das AD verwaltet.
• Diese Konzept ein Golden Eintrittskarte-Angriffe sei ihr MITRE ATT&CK Konzept „Credential Access“ (Anmeldedatenzugriff) auf der Subtechnik „Steal or Forge Kerberos Tickets“ (Kerberos-Tickets stibitzen ferner fälschen) zugeordnet.

Mimikatz ist und bleibt as part of ein Lage, Klartextpasswörter, Hashes und Kerberos-Tickets alle unserem Bühne zu klauben. In der regel drive multiplier mayhem $ 1 Kaution sei welches Tool die eine hauptgeschäftsstelle Anlaufstelle je jeden, das diese Sicherheitsmaßnahmen von Active Directory kompromittieren möchte. Mimikatz vermag Anmeldeinformationen und Authentifizierungstickets direkt alle dem Hauptspeicher ziehen, an irgendeinem ort die leser bisweilen im klartext zu ausfindig machen man sagt, sie seien. Mimikatz vermag nachfolgende Elemente nützlichkeit, um typische Authentifizierungsverfahren hinter verhüten ferner Angreifern weitreichenden Abruf auf Active Directory zu spendieren. Irgendeiner Trick ermöglicht dies einen Angreifern, Kerberos-Service-Tickets für diverse Ressourcen dahinter erhalten. Bedrohungsakteure können unser ungeprüfte Respektsperson nützlichkeit, damit Netzwerksysteme zu unterwandern ferner herkömmliche Zugriffs- und Authentifizierungskontrollen hinter verhüten.

• Er ist Schriftsteller des Buches „Industriespionage – Das große Orkan auf den Mittelstand” sofern den hut aufhaben je mehrere Studien dahinter meinem Sache.
• Oppositionell Angriffen, in denen Bedrohungsakteure vorhandene Tickets verschlingen, erzeugen unter anderem einsetzen Silver Flugschein-Attackierender gefälschte Tickets, damit sich denn Computer-nutzer inoffizieller mitarbeiter Netzwerk auszugeben.
• Das Golden Eintrittskarte gewährt keinen vollständigen Zugang nach Domänenebene, anstelle sei eher stufenweise, dadurch sera einander wie der spezifischer Nutzer für jedes angewandten bestimmten Dienst and eine bestimmte Betriebsmittel ausgibt.
• Nachfolgende Protokollierung sei essentiell, daselbst eltern eine detaillierte Annalen der Benutzerauthentifizierung and der Eintrittskarte-Vergabeaktivitäten im bereich durch AD liefert.

Kerberos verwendet ausgewählte Arten von kryptografischen Einheiten, auf diese weise genannte Tickets, um Anwender unter anderem Dienste zu bestätigen, abzüglich Passwörter übers Netzwerk zu zukommen lassen. Vorab die autoren näher darauf reagieren, genau so wie nachfolgende Angriffe klappen und wie gleichfalls Die leser Active Directory gegen verteidigen können, sollten Sie zigeunern diese Grundlagen der Cybersicherheit beobachten. Irgendeiner Verlauf darf gegenseitig via nicht alleine Jahre ziehen, dabei derer man gegenseitig über angewandten Hackern im alten, unsicheren Netzwerk das Rückzugsgefecht liefert, damit jedermann angewandten anderen Datenabfluss minimal auf diese weise schwer wie denkbar nach machen. Hat der Eindringling in erster linie ihr Gold Ticket bekommen ferner konnte er unter einsatz von folgendem das zweigleisig Stunden „arbeiten“, man sagt, sie seien seine möglichen „Verstecke“ beileibe unüberschaubar.

Über das Überprüfung übers krbtgt-Bankverbindung im griff haben Aggressor betrügerische TGTs erstellen, damit nach beliebige Ressourcen zuzugreifen. So lange eltern siegreich durchgeführt man sagt, sie seien, im griff haben gegenseitig diese Attackierender denn jedweder irgendwelche Computer-nutzer ausgeben. Das Starker wind ist schwer nach schnallen ferner darf bei Angreifern genutzt man sagt, sie seien, damit tief in einem Radar hinter verweilen. Der Golden-Ticket-Orkan ist und bleibt die Anlass, Rauheit dahinter das rennen machen, falls einander ihr Eindringling wanneer Domänenadministrator Eintritt zum Active Directory verschafft hat. Solch ein „magische“ Flugschein ist und bleibt zu grunde liegend Kerberos erstellt, unserem Authentifizierungsprotokoll, dies folgende sichere Informationsaustausch unter verschiedenen Entitäten, zwerk. Unser ultimative Trade wird dies, uneingeschränkten Zugang zum Netzwerk hinter einbehalten, das so weit wie 10 Jahre valide coeur vermag.

DCShadow Attack Explained – MITRE ATT&CK T1207

Trade des Angreifers ist nun unser Lizenz eines sogenannten Domänen-Administrators. Über der Erlaubnis kann zigeunern ein Eindringling sodann über diesem leer verfügbaren Hackertool namens „mimikatz“ das sogenanntes „Golden Eintrittskarte“ erstellen. Auch diese Domain Rechnungsprüfer um gegenseitig zigeunern die vollen Berechtigungenfür die tief Spieldauer (10 Jahre) zu geben. Dadurch ihr Silver-Ticket-Sturm triumphierend sei, soll das Eindringling bereits administrativen Einsicht auf den Domain Buchprüfer sehen.

Dabei verordnet nachfolgende Anwendung Reisepass-the-Hash and Pass-the-Flugticket, wobei nebensächlich Zugang-Angaben, Admin-Konten, Kerberos-Tickets and Silver Tickets entwendet man sagt, sie seien können. Welches Tool nutzt diverse Windows-Schwachstellen und ist wegen der kontinuierliche Weiterentwickelung unter einsatz von brandneuen Angriffsmöglichkeiten auf Windows-Systemen ausgestattet. Entstanden ist und bleibt das Fiasko häufig bei die einzige Schwache seite – diesseitigen Angestellter. Einer hat in seinem PC eine unsichere E-E-mail und unsicheren Link angesteuert. Geheim wirkende (aber gefälschte) E-Mails sind vom Anwender geöffnet and daselbst Credentials abgefragt unter anderem durch entsprechende Links Malware voll. Beim Spear Phishing hat ihr Aggressor Kompetenz bei das Typ, minimal was seinen Stellung angeht.

Unser Tool herausgestellt Anmeldedaten entsprechend Benutzernamen, Kennwörter and Kerberos-Tickets. Das Bezeichner „Silver Flugticket“ je nachfolgende Angriffsform stammt alle einem (verfilmten) Buch Charlie unter anderem unser Schokoladenfabrik, in dem welches goldene Flugticket uneingeschränkten Abruf gewährt. Das Eindringling mess wie erstes ein Account mit einer Malware unterwandern, nachfolgende ihm qua ein Command-and-Control-Netzwerk Abruf auf den PC verschafft.