R@H Computerservice Hauser - IT Enterprise Solutions

Wie es zu Angriffen wie Kerberoasting kommt

Von Phishing zur AD-Kompromittierung

Cyberangriffe auf Unternehmensnetzwerke beginnen oft mit scheinbar harmlosen Aktionen. Eine der häufigsten Einstiegspunkte sind Phishing-E-Mails, die Benutzer dazu verleiten, auf infizierte Links zu klicken oder schadhafte Anhänge herunterzuladen. Wird eine solche E-Mail geöffnet, kann unbemerkt eine Schadsoftware auf den Rechner des Opfers gelangen. Diese Malware bleibt häufig verborgen, während sie systematisch Informationen sammelt und Sicherheitslücken im Netzwerk ausnutzt. Einmal installiert, können Angreifer mit dieser Software tief in das Unternehmensnetzwerk eindringen. Oft suchen sie nach Active Directory (AD)-Konten, um ihre Privilegien zu erweitern. Eine besonders gefährliche Technik, die dabei zum Einsatz kommt, ist Kerberoasting.

Was ist Kerberoasting?

Kerberoasting zielt auf das Kerberos-Authentifizierungsprotokoll ab, das in Active Directory verwendet wird. Angreifer fordern Tickets für Service-Accounts an, die zur Authentifizierung genutzt werden. Diese Tickets enthalten verschlüsselte Passwort-Hashes. Mithilfe von Kerberoasting-Techniken können Angreifer diese Hashes offline knacken und dadurch Zugang zu privilegierten Konten erhalten. Dieser Prozess kann unbemerkt ablaufen, besonders wenn alte oder inaktive AD-Konten im Netzwerk existieren, die nicht ausreichend überwacht werden. Einmal im Besitz solcher Konten, können Angreifer seitlich im Netzwerk agieren und immer höhere Berechtigungsstufen erlangen, was letztendlich zu einem vollständigen Kontrollverlust über das Netzwerk führen kann.

Warum ist das ein Problem?

Phishing-Angriffe sind so weit verbreitet, dass jedes Unternehmen früher oder später Ziel eines solchen Angriffs wird. Sobald ein Angreifer erfolgreich einen Rechner infiltriert hat, kann er jederzeit mit einem Kerberoasting-Angriff fortfahren, indem er nach schwach gesicherten oder schlecht überwachten AD-Konten sucht. Ohne geeignete Überwachungslösungen bleibt ein solcher Angriff oft über lange Zeit unerkannt – bis der Schaden bereits enorm ist.

Von Kerberoasting zu Ransomware

Eine gezielte Vorbereitung auf den Angriff

Ein Kerberoasting-Angriff ist oft nur der erste Schritt in einer langwierigen und gezielten Attacke auf Unternehmensnetzwerke. Angreifer nutzen diese Methode, um schwache Service-Account-Passwörter im Active Directory (AD) auszunutzen und administrative Rechte zu erlangen. Dabei greifen sie gezielt nach privilegierten Accounts, um ihre Kontrolle im Netzwerk auszubauen. In der Anfangsphase eines solchen Angriffs bleibt der Angreifer meist unentdeckt. Er sammelt über einen längeren Zeitraum Zugangsdaten und analysiert die IT-Infrastruktur des Unternehmens. Diese Zeit wird genutzt, um schrittweise den Zugriff auf immer höhere Berechtigungsstufen zu erlangen und sensible Bereiche des Netzwerks zu infiltrieren.

Der Übergang zu Ransomware

Sobald der Angreifer die nötigen privilegierten Zugänge erlangt hat, beginnt die nächste Phase: die Vorbereitung eines Ransomware-Angriffs. Mit administrativen Rechten ausgestattet, kann der Angreifer nun kritische Systeme und Daten im Netzwerk manipulieren. Ransomware wird strategisch auf Servern und Workstations verteilt, oft über eine Zeitspanne hinweg, sodass sie an mehreren Punkten gleichzeitig aktiv werden kann. Ransomware funktioniert, indem sie alle erreichbaren Daten verschlüsselt und diese für das Unternehmen unzugänglich macht. Da der Angreifer bereits tief in das Netzwerk eingebettet ist, kann die Ransomware mit umfassenden Rechten operieren und sämtliche Daten und Backups angreifen. Oft bleibt kein Teil des Netzwerks verschont, wodurch die Wahrscheinlichkeit steigt, dass das betroffene Unternehmen hohe Lösegeldzahlungen in Betracht zieht, um den Schaden zu beheben.

Warum ist das gefährlich?

Ein solcher Angriff kann über Monate oder sogar Jahre hinweg vorbereitet werden. Der Angreifer nutzt die Zeit, um sich unbemerkt im Netzwerk zu bewegen und die perfekte Gelegenheit abzuwarten, um zuzuschlagen. Wenn die Ransomware schließlich aktiviert wird, hat der Angreifer oft die komplette Kontrolle über die wichtigsten Daten und Systeme. Langfristige Vorbereitung macht Ransomware-Angriffe besonders zerstörerisch, da der Angreifer: Hochprivilegierte Zugänge besitzt, um alle Bereiche des Netzwerks zu verschlüsseln. Backups und Sicherheitskopien ebenfalls verschlüsseln oder löschen kann, um die Wiederherstellung zu verhindern. Sicherheitsmaßnahmen umgehen kann, da er die Netzwerkstruktur genau kennt. Die Kombination aus einem gezielten Kerberoasting-Angriff und anschließender Ransomware ist daher besonders gefährlich und führt oft zu massiven Ausfällen und erheblichen finanziellen Verlusten für betroffene Unternehmen.