{"id":67239,"date":"2023-08-30T10:30:08","date_gmt":"2023-08-30T08:30:08","guid":{"rendered":"https:\/\/www.pcspezialist.de\/blog\/?p=67239"},"modified":"2024-10-31T08:50:30","modified_gmt":"2024-10-31T07:50:30","slug":"kerberoasting","status":"publish","type":"post","link":"https:\/\/pcspezialist.de\/blog\/2023\/08\/30\/kerberoasting\/","title":{"rendered":"Kerberoasting ## Was sind Kerberoasting-Angriffe und wie sch\u00fctzen Sie sich?"},"content":{"rendered":"

Haben Sie den Begriff Kerberoasting schon mal geh\u00f6rt? Dabei handelt es sich um eine Angriffstechnik, die Cyberkriminelle anwenden, um Passw\u00f6rter zu klauen. Und zwar nicht irgendwelche, sondern Active-Directory-Konten.<\/strong><\/p>\n

Wie die Angreifer vorgehen und wie Sie sich sch\u00fctzen, erfahren Sie von uns.<\/p>\n

<\/p>\n

\n

Unser Beitrag \u00fcber Kerberoasting im \u00dcberblick:\u00a0<\/strong><\/p>\n

    \n
  1. Was ist Kerberoasting?<\/a><\/li>\n
  2. Kerberoasting in vier Schritten<\/a><\/li>\n
  3. Schutz vor Angriff mittels Kerberos<\/a><\/li>\n
  4. PC-SPEZIALIST tritt f\u00fcr Ihre IT-Sicherheit ein<\/a><\/li>\n<\/ol>\n<\/div>\n

    Was ist Kerberoasting?<\/h2>\n

    Kerberoasting<\/strong> ist ein \u201eOffline\u201c-Angriff, bei dem kein ungew\u00f6hnlicher Datenverkehr anf\u00e4llt oder Datenpakete \u00fcbertragen werden. Stattdessen verwenden Cyberkriminelle<\/a> die Angriffstechnik, um Passwort-Hashes<\/a> aus dem Kerberos-Authentifizierungssystem zu extrahieren.<\/p>\n

    Kerberos<\/strong> ist ein weit verbreitetes Authentifizierungsprotokoll. Es wird unter anderem in Windows-Netzwerken eingesetzt, um Benutzer zu authentifizieren, ohne dass klare Textpassw\u00f6rter \u00fcber das Netzwerk \u00fcbertragen werden m\u00fcssen.<\/p>\n

    Die Technik zielt darauf ab, schwache Benutzerkonten zu erkennen, herauszufiltern und die verschl\u00fcsselten Dienstkontenschl\u00fcssel (Service-Account-Keys) zu extrahieren, die von Kerberos zur Authentifizierung von Diensten verwendet werden. Diese Schl\u00fcssel k\u00f6nnen dann offline angegriffen werden, um die Passw\u00f6rter der Dienstkonten zu ermitteln. Ziel ist es, die Zugangsdaten anderer Nutzer des Netzwerks herauszufinden.<\/p>\n

    \"Kerberoasting:

    Das Ziel der Hacker ist klar: sensible Firmendaten. Bild: Pexels\/Mikhail Nilov<\/a><\/p><\/div>\n

    Kerberoasting in vier Schritten<\/h2>\n

    Ein Angriff<\/strong> mittels Kerberoasting<\/strong> l\u00e4uft \u00fcblicherweise in vier Schritten ab:\u00a0Im ersten Schritt<\/strong> identifizieren die Angreifer Dienstkonten. Der Angreifer sucht dabei nach Benutzerkonten, die f\u00fcr Dienste verwendet werden, die Kerberos-Authentifizierung verwenden. Diese Konten werden oft in Active Directory als \u201eService Accounts\u201c oder \u201eManaged Service Accounts\u201c konfiguriert.<\/p>\n

    Danach, Schritt zwei<\/strong>, fordern sie ein Dienstticket-Hash an: Der Angreifer fordert mithilfe von Werkzeugen wie \u201eGetNPUsers\u201c (Teil des Impacket-Frameworks) einen speziellen Art von Kerberos-Ticket an, das als TGS-(Ticket Granting Service)-Ticket bezeichnet wird. Dieses Ticket enth\u00e4lt einen verschl\u00fcsselten Dienstkontenschl\u00fcssel.<\/p>\n

    Im dritten Schritt<\/strong> kommt es zum Offline-Angriff: Der Angreifer kann den verschl\u00fcsselten Dienstkontenschl\u00fcssel offline angreifen, um das zugeh\u00f6rige Passwort zu ermitteln. Dies kann mithilfe von Brute-Force-Angriffen<\/a> oder W\u00f6rterbuchangriffen<\/a> auf den verschl\u00fcsselten Schl\u00fcssel erfolgen. Wenn das Passwort schwach ist, kann der Angreifer es relativ schnell entschl\u00fcsseln.<\/p>\n

    Zu guter Letzt, Schritt vier<\/strong>, kann der Angreifer sich mithilfe des ermittelten Passworts bei Diensten anmelden, die dieses Konto verwenden. Der Angreifer erh\u00e4lt so Zugriff auf die jeweiligen Ressourcen.<\/p>\n

    Schutz vor Angriff mittels Kerberos<\/h2>\n

    Nat\u00fcrlich ist es m\u00f6glich, sich vor Kerberoasting<\/strong> zu sch\u00fctzen. Schutzma\u00dfnahmen<\/strong> vor solchen Angriffen gibt es mehrere. Wir zeigen Ihnen, was Sie tun m\u00fcssen, um vor den Attacken sicher zu sein:<\/p>\n