Ein Golden Ticket-Angriff ist ein Cyberangriff, bei dem Bedrohungsakteure versuchen, nahezu uneingeschränkten Zugriff auf eine Unternehmensdomäne (z. B. Geräte, Dateien, Domänencontroller) zu erlangen. Dazu greifen sie auf Benutzerdaten zu, die im Microsoft Active Directory (AD) gespeichert sind. Der Angriff nutzt Schwachstellen im Kerberos-Protokoll, das zur Identitätsauthentifizierung genutzt wird und den Zugriff auf das AD verwaltet. Die Schwachstellen ermöglichen es, die normale Authentifizierung zu umgehen.

Da immer mehr Unternehmen auf die Cloud und Remote-Arbeit setzen und Mitarbeiter mit ihren eigenen Geräten sowie vom eigenen Netzwerk auf das Unternehmenssystem zugreifen, ist die Angriffsfläche nun größer als der herkömmliche Perimeter. Dadurch wächst das Risiko, dass Angreifer in ein Netzwerk eindringen und über Golden Ticket-Angriffe Zugriff erlangen können.

Wie haben sich Golden Ticket-Angriffe entwickelt?

Golden Ticket-Angriffe sind eng mit dem quelloffenen Tool Mimikatz verbunden, das 2011 entwickelt wurde, um Schwachstellen in Microsoft Windows aufzuzeigen. Das Tool extrahiert Anmeldedaten wie Benutzernamen, Kennwörter und Kerberos-Tickets. Der Name „Golden Ticket“ für diese Angriffsform stammt aus dem (verfilmten) Buch Charlie und die Schokoladenfabrik, in dem das goldene Ticket uneingeschränkten Zugang gewährt. In diesem Fall geht es jedoch nicht um eine gut bewachte Süßwarenfabrik, sondern darum, durch Ausnutzung einer Schwachstelle im Kerberos-Authentifizierungsprotokoll die Cybersicherheitsmaßnahmen eines Unternehmens zu umgehen und Zugriff auf Ressourcen, Dateien, Rechner und Domänencontroller zu erlangen.

Wie laufen Golden Ticket-Angriffe ab?

Bei der Kerberos-Authentifizierung übernimmt meist ein Schlüsselverteilungscenter (Key Distribution Center, KDC) die Absicherung und Verifizierung von Benutzeridentitäten. Durch diese Vorgehensweise sollen mehrfache Authentifizierungsanfragen an Benutzer entfallen, da die Benutzeridentitäten verifiziert werden und den Benutzern anschließend ein Ticket für den Zugriff zugewiesen wird. Der Verteiler verfügt über den Ticket Granting Server (TGS), der Benutzer mit dem Dienstserver verbindet. Die Kerberos-Datenbank enthält die Kennwörter aller verifizierten Benutzer. Der Authentifizierungsserver (AS) authentifiziert zunächst den Benutzer. Ist dies erfolgreich, erhält der Benutzer ein Kerberos Ticket Granting Ticket (TGT), das als Nachweis seiner Authentifizierung dient.

Wie werden Golden Ticket-Angriffe ausgeführt?

Für einen Golden Ticket-Angriff benötigen Angreifer den vollständigen Domänennamen (Fully Qualified Domain Name, FQDN), den Sicherheitsidentifikator (SID) der Domäne, den KRBTGT-Kennwort-Hash und den Benutzernamen des Kontos, auf das sie zugreifen wollen. Nachfolgend wird erläutert, wie Angreifer an diese Informationen gelangen und den Angriff ausführen.

Schritt 1: Untersuchung: Die Angreifer müssen bereits Zugang zum System erlangt haben. Häufig nutzen sie dazu Phishing-E-Mails. Dann erkunden sie das System und erfassen Informationen wie den Domänennamen.

Schritt 2: Diebstahl des Zugriffs: Nachdem sie Zugriff auf den Domänencontroller erlangt haben, stehlen sie einen NTLM-Hash des AD-Dienstkontos des Schlüsselverteilungscenters (KRBTGT). Meist nutzen sie dazu Techniken wie Pass-the-Hash (PtH), da im Gegensatz zu anderen Angriffen, bei denen Zugangsdaten gestohlen werden, das Kennwort hier nicht geknackt werden muss.

Schritt 3: Ausführung des Angriffs: Haben die Angreifer das Kennwort für das KRBTGT erbeutet, können sie an ein TGT gelangen, das ihnen Zugang zum Domänencontroller gewährt und die Identität des Servers verifiziert. Zudem gewährt das TGT ihnen uneingeschränkten Zugriff auf Ressourcen und die Möglichkeit, anderen Benutzern domänenbezogene Aufgaben zuzuweisen, sodass diese Tickets erstellen können.

Schritt 4: Aufrechterhalten des Zugriffs: Das Ticket kann bis zu zehn Jahre lang gültig sein, wobei diese Art von Angriff oft unerkannt bleibt. Um nicht entdeckt zu werden, geben die Angreifer den Tickets meist eine kürzere Gültigkeitsdauer.

Wie können Sie Golden Ticket-Angriffe erkennen?

Es gibt mehrere Prozesse, mit denen Unternehmen einen möglichen Golden Ticket-Angriff erkennen können. Nachdem Angreifer im zweiten Schritt Zugriff erlangt haben, gibt ihnen das die Möglichkeit, an Anmeldedaten für weitere Angriffe zu gelangen. Mithilfe von automatisierten Tools und bereits gesammelten Kunden- und Mitarbeiterdaten suchen sie nach aktiven Konten. Wenn Kerberos eine TGT-Anfrage ohne vorherige Authentifizierung erhält, sendet es unterschiedliche Antworten – je nachdem, ob die Anmeldedaten gültig sind oder nicht. Angreifer nutzen dies aus und verwenden gültige Anmeldedaten bei möglichen weiteren Angriffen. Das Sicherheitsteam kann also nach mehreren Tickets suchen, die von der gleichen, vorher nicht authentifizierten Quelle stammen.

Wie kann XDR die Erkennung von Golden Ticket-Angriffen vereinfachen?

XDR-Lösungen (Erweiterte Erkennung und Reaktion) erfassen Bedrohungsdaten aus allen Technologien eines Unternehmens, was Bedrohungssuchen und Reaktionsmaßnahmen beschleunigt. Dabei bündeln die XDR-Lösungen alle Erkennungen und Reaktionsmaßnahmen in einer Befehlskonsole, sodass Unternehmen Golden Ticket-Angriffe basierend auf den erfassten Bedrohungsdaten schneller erkennen können.

Tipps zum Schutz vor Golden Ticket-Angriffen

Zum Schutz vor Golden Ticket-Angriffen sind mehrere klassische Sicherheitsmaßnahmen erforderlich. Beachten Sie dabei auch, dass es sich bei Golden Ticket-Angriffen um Post-Exploitation-Angriffe handelt, d. h. dass die Umgebung bereits vor dem Angriff kompromittiert worden sein muss. Mit folgenden Best Practices können Sie Angreifer daran hindern, Zugang zu erlangen.

Tipp 1: Schutz für Active Directory

Kompromittierte Endgeräte oder Workloads können zu einem verheerenden Angriff auf das gesamte Unternehmen führen. Die Durchsetzung von Zero-Trust-Sicherheit (mit dem Prinzip „Vertrauen ist schlecht, Kontrolle ist Pflicht“) hilft dabei, das AD und Identitäten zu schützen. Zudem werden die Benutzer auf diese Weise kontinuierlich verifiziert und autorisiert, bevor sie Zugriff auf Daten erhalten.

Da bei Golden Ticket-Angriffen ein Überblick über den Benutzerzugriff von entscheidender Bedeutung ist, unterstützt das Least-Privilege-Prinzip (bei dem Benutzer nur die für ihre Aufgaben benötigten Zugriffsrechte erhalten) die Absicherung des AD und verhindert solche Angriffe.

Identitätsschutz wie Falcon Identity Threat Protection schützt das AD eines Unternehmens und verringert Sicherheitsrisiken rund um das AD. Um Golden Ticket-Angriffe zuverlässig zu verhindern, müssen Sicherheitsmaßnahmen dafür sorgen, dass das AD kontinuierlich überwacht wird und nicht autorisierte Benutzer daran gehindert werden, Zugriff zu erlangen. Dies ist besser als erst dann zu reagieren, wenn der Schaden bereits entstanden ist.

Tipp 2: Stoppen von Anmeldedatendiebstahl

Golden Ticket-Angriffe beginnen mit Angriffen wie Phishing-E-Mails. Stellen Sie also sicher, dass Ihre Mitarbeiter in der Erkennung von Phishing-Versuchen geschult sind, damit Angreifer keinen Erstzugang erlangen können. Tools für IT-Hygiene sorgen dafür, dass alle Anmeldedaten sicher sind und Kennwörter regelmäßig geändert werden. Sollte es zu einer Kompromittierung kommen, kann der Angriff erkannt und gestoppt werden.

Tipp 3: Bedrohungssuche

Von Menschen durchgeführte Bedrohungssuchen ermöglichen die Rund-um-die-Uhr-Suche nach unbekannten und verborgenen Angriffen, die gestohlene Anmeldedaten verwenden und sich als legitime Benutzer tarnen. Diese Angriffsart bleibt häufig unbemerkt und wird meist auch von automatisierten Sicherheitstools nicht erkannt. Golden Ticket-Angriffe sind so konzipiert, dass sie unbemerkt ablaufen, weshalb sie nur mit Bedrohungssuchen erkannt werden können, die von Menschen durchgeführt werden. Das Threat Hunting-Team nutzt die im täglichen Kampf gegen hochentwickelte hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) gewonnenen Erkenntnisse, um jeden Tag Millionen subtiler Spuren und schädlicher Aktivitäten zu untersuchen und Kunden bei Bedarf zu warnen.