R@H Computerservice Hauser - IT Enterprise Solutions
Wie es zu Angriffen wie Kerberoasting kommt
Von Phishing zur AD-Kompromittierung
Cyberangriffe auf Unternehmensnetzwerke beginnen oft mit scheinbar harmlosen Aktionen. Eine der häufigsten Einstiegspunkte sind Phishing-E-Mails, die Benutzer dazu verleiten, auf infizierte Links zu klicken oder schadhafte Anhänge herunterzuladen. Wird eine solche E-Mail geöffnet, kann unbemerkt eine Schadsoftware auf den Rechner des Opfers gelangen. Diese Malware bleibt häufig verborgen, während sie systematisch Informationen sammelt und Sicherheitslücken im Netzwerk ausnutzt. Einmal installiert, können Angreifer mit dieser Software tief in das Unternehmensnetzwerk eindringen. Oft suchen sie nach Active Directory (AD)-Konten, um ihre Privilegien zu erweitern. Eine besonders gefährliche Technik, die dabei zum Einsatz kommt, ist Kerberoasting.
Was ist Kerberoasting?
Kerberoasting zielt auf das Kerberos-Authentifizierungsprotokoll ab, das in Active Directory verwendet wird. Angreifer fordern Tickets für Service-Accounts an, die zur Authentifizierung genutzt werden. Diese Tickets enthalten verschlüsselte Passwort-Hashes. Mithilfe von Kerberoasting-Techniken können Angreifer diese Hashes offline knacken und dadurch Zugang zu privilegierten Konten erhalten. Dieser Prozess kann unbemerkt ablaufen, besonders wenn alte oder inaktive AD-Konten im Netzwerk existieren, die nicht ausreichend überwacht werden.
Warum ist das ein Problem?
Phishing-Angriffe sind so weit verbreitet, dass jedes Unternehmen früher oder später Ziel eines solchen Angriffs wird. Sobald ein Angreifer erfolgreich einen Rechner infiltriert hat, kann er jederzeit mit einem Kerberoasting-Angriff fortfahren, indem er nach schwach gesicherten oder schlecht überwachten AD-Konten sucht. Ohne geeignete Überwachungslösungen bleibt ein solcher Angriff oft über lange Zeit unerkannt – bis der Schaden bereits enorm ist.
Von Kerberoasting zu Ransomware
Eine gezielte Vorbereitung auf den Angriff
Ein Kerberoasting-Angriff ist oft nur der erste Schritt in einer langwierigen und gezielten Attacke auf Unternehmensnetzwerke. Angreifer nutzen diese Methode, um schwache Service-Account-Passwörter im Active Directory (AD) auszunutzen und administrative Rechte zu erlangen. Dabei greifen sie gezielt nach privilegierten Accounts, um ihre Kontrolle im Netzwerk auszubauen.
Der Übergang zu Ransomware
Sobald der Angreifer die nötigen privilegierten Zugänge erlangt hat, beginnt die nächste Phase: die Vorbereitung eines Ransomware-Angriffs. Mit administrativen Rechten ausgestattet, kann der Angreifer nun kritische Systeme und Daten im Netzwerk manipulieren.
Warum ist das gefährlich?
Ein solcher Angriff kann über Monate oder Jahre hinweg vorbereitet werden. Der Angreifer nutzt die Zeit, um sich unbemerkt im Netzwerk zu bewegen und die perfekte Gelegenheit abzuwarten, um zuzuschlagen.
Langfristige Auswirkungen
Ransomware kombiniert mit Kerberoasting führt oft zu massiven Ausfällen und erheblichen finanziellen Verlusten für betroffene Unternehmen.