Golden Ticket
Unzureichende IT-Security - maximaler Schmerz für IT-Administratoren
Aktuelle Hackerangriffe
Gefahren werden häufig unterschätzt
IT-Security schützt sensible Daten und Netzwerke
Anders als bei Willy Wonka - Sie erinnern sich bestimmt an den Film „Charlie und die Schokoladenfabrik“ – bedeutet ein „Golden Ticket“ für die IT Sicherheit den Worst Case.
Aktuell werden fast täglich erhebliche Hackerangriffe gemeldet. Die Funke-Mediengruppe kann über Wochen hinweg nur eingeschränkt ihre Tageszeitungen publizieren. Rund 1200 der insgesamt 6600 teilweise verschlüsselten Endgeräte mussten z.T. ausgetauscht werden. Ramsonware hatte die Komponenten verseucht und wichtige Daten verschlüsselt.
Diese Nachricht war insofern beachtenswert, weil die Firma FireEye exakt darauf spezialisiert ist, u.a. US-Behörden und namenhaften Unternehmen Schutz vor genau diesem Hacker-Szenario anzubieten.
Was war passiert? Wie konnte die IT Sicherheit derart überlistet werden?
FireEye ist eine der renommiertesten und bekanntesten Cybersicherheits-Firmen der Welt. Sie hat die US-Wahlen abgesichert und Nationalstaaten rufen seine Teams, wenn internationale Hackerangriffe aufgedeckt werden sollen. FireEye setzt selbst die Sicherheitssoftware von SolarWinds ein. Über ein manipuliertes Update der Anwendung Orion wurde der Angriff ermöglicht. Die Diebe hatte das "digitale Waffenarsenal" der Firma FireEye erbeutet.
Laut dem SZ-Bericht, haben die Hacker das digitale Waffenarsenal, die Red-Team-Werkzeuge, gestohlen. Als Red Teams werden "gute Hacker" bezeichnet, die von Unternehmen beauftragt sind und nach Absprache versuchen, die IT-Sicherheit des Unternehmens zu durchbrechen. Die Red Teams verwenden dazu ähnliche Tools, wie die kriminellen Hacker.
Vermutlich waren unter den gestohlenen Werkzeugen auch welche, die zur Erlangung eines Golden Ticket eingesetzt werden.
Was ist ein Golden Ticket?
Mit dem Golden Ticket-Angriff verschafft sich ein Angreifer umfassenden und vollständigen Zugriff auf eine gesamte Domain und damit zu sämtlichen Computern, Dateien, Ordnern und zu den Domain-Controllern (DC) mit maximalem Potenzial für Schäden.
Gelangt der Angreifer auf diese Weise an ein Kerberos-Authentifizierungstoken für ein bestimmtes Konto mit der Bezeichnung KRBTGT, hat er ein Golden Ticket in der Hand. Das KRBTGT-Konto ist zwingend für das Active Directory vorgesehen und sein Passwort sollte nur der Kerberos-Server kennen. Daher ist es ein verborgenes Konto mit der Aufgabe, alle Authentifizierungstokens für den Domain Controller zu verschlüsseln. Das Golden Ticket kann dann eine Pass-the-Hash-Technik einsetzen, um sich in jedem Konto anzumelden. Schlimmer wird alles auch dadurch, dass sich der Angreifer völlig unbemerkt durch das Netzwerk bewegen kann. Es gibt einige Beispiele für Unternehmen oder Einrichtungen, in denen ein Angreifer jahrelang ein Golden Ticket hatte. Die Geschädigten waren dadurch noch nicht einmal in der Lage, das Ausmaß der abgeflossenen Daten oder anderen Schäden zu identifizieren.
Wie erfolgt der Angriff auf die IT-Security?
Auch wenn der konkrete Angriff ein höchst komplexes und mehrstufiges Verfahren ist (daher stehen hinter diesen Angriffen i.d.R. Profis bzw. feindliche Staaten), ist der primäre Schritt trivial.
Entstanden ist das Fiasko meistens durch eine einzige Schwachstelle – einen Mitarbeiter. Dieser hat bei seinem PC eine unsichere E-Mail oder unsicheren Link angesteuert. Der Angreifer konnte dann unbemerkt z.B. Mimikatz installieren. Diese Form der Überrumpelung wird auch Phishing genannt. Vertraulich wirkende (aber gefälschte) E-Mails werden vom Benutzer geöffnet und dort Credentials abgefragt oder durch entsprechende Links Schadsoftware geladen. Beim Spear Phishing hat der Angreifer Kenntnis von der Person, zumindest was seinen Namen angeht. Somit kann er die betrügerische E-Mail noch authentischer wirken lassen.
Mit Mimikatz lassen sich Passwort-Hashes aus dem Windows-Speicher auslesen. Dabei verwendet die Anwendung Pass-the-Hash oder Pass-the-Ticket, wodurch auch Login-Daten, Admin-Konten, Kerberos-Tickets oder Golden Tickets entwendet werden können. Das Tool nutzt verschiedene Windows-Schwachstellen und wird durch die kontinuierliche Weiterentwickelung mit neuen Angriffsmöglichkeiten auf Windows-Systemen ausgestattet.
Die „Guten“ nutzen die Software, um in der Rolle der Administratoren das eigene System auf Schwachstellen zu überprüfen, ebenso Sicherheitsexperten für Penetrationstests. Die „Bösen“ heißen dann Hacker.
Auch wenn der konkrete Angriff ein höchst komplexes und mehrstufiges Verfahren ist (daher stehen hinter diesen Angriffen i.d.R. Profis bzw. feindliche Staaten), ist die primäre Attacke in den meisten Fällen trivial.
Was folgt aus dem Diebstahl bei FireEye?
Es ist kein Zufall, dass mehrere große Unternehmen direkt nach der Veröffentlichung des Einbruchs bei FireEye zugeben müssen, ebenfalls gehackt worden zu sein. Die Zahl der schweren Attacken auf US-Unternehmen hat sprunghaft zugenommen haben.
Laut Bitkom entsteht der deutschen Wirtschaft jährlich ein Schaden in zweistelliger Milliardenhöhe durch Cyber Kriminalität. Drei Viertel der Unternehmen (75 Prozent) waren in den vergangen beiden Jahren von Angriffen betroffen, weitere 13 Prozent vermuten dies. Phishing und ähnliche Methoden nehmen dabei bis zu 25% aller Fälle ein. Wir haben hier also keinen Ausnahmefall oder eine exotische Variante vorliegen. Die Wahrscheinlichkeit, dass ein Unternehmen durch Phishing Attacken bedroht wird, geht gegen 100%. Die dabei auftretenden Schäden können dabei existenziell sein. Im Fall eines Golden Ticket ist allein die „Verseuchung“ der betroffenen Server und Netzwerkkomponenten immens. Um die gesamte Infrastruktur komplett zu „säubern“, müssen ggf. alle wesentlichen Komponenten neu aufgesetzt werden – dazu kommen materielle Schäden durch Datenabflüsse oder Erpressung nach einer kriminellen Verschlüsselung. So auch im Fall der Funke-Mediengruppe.
Wie kann man sich schützen? – im Fall von Phishing-Angriffen
1. Geschulte Mitarbeiter:innen
2. Unterwiesene Mitarbeiter:innen
3. Mitdenkende Mitarbeiter:innen
- Natürlich gibt es auch „technische“ Maßnahmen, aber die sollten zusätzlich zu Maßnahmen 1 bis 3 zum Einsatz kommen.
Ein effizienter Schutz der Identität eines Benutzers und seines Kontos, ist eine zweistufige Authentifizierung - auch als Zwei-Faktor-Authentifizierung (2FA) oder Multi-Factor Authentication (MFA) bezeichnet. Wurde diese Sicherheitsebene von der Administration eingerichtet, wird der Benutzer bei der Anmeldung an seinem Konto aufgefordert, diese Aktion zu bestätigen. Der Authentifizierungs-Code kann z. B. über eine Authentifizierungs-App, eine SMS oder an eine andere E-Mail-Adresse gesendete Nachricht erfolgen, bei dem der Benutzer einen Pin eingeben muss. Somit kann der Hacker trotz des erbeuteten Passworts das Konto nicht kapern.
Problematisch sind, wie oben beschriebenen, unsichere Links und Websites. Hier helfen Firewalls mit integrierten Maleware-Filtern. Deutlich effizienter sind die in der Azure Cloud von Microsoft vorhandenen Protection-App´s, wie den Azure Defender.
Microsoft schützt seine Infrastruktur und somit auch die der Kunden, mit einem immensen Aufwand. Mit über 3.500 Mitarbeiter allein im IT-Security Umfeld und einem Jahresbudget von über einer Milliarde US-Dollar, verfügt Microsoft über Möglichkeiten, die ein Unternehmen mit eigenen Systemen on-premises nicht annähernd hat. Unter anderem können E-Mails in der Cloud im sogenannten Detonation Room gescannt werden und erst danach zur Auslieferung kommen. Microsoft verfügt zudem über große, tagesaktuelle Daten und erkennt bösartige Absender, Inhalte oder kompromittierte User Credentials. Dabei wird in großem Umfang Künstliche Intelligenz (KI) eingesetzt, um die riesigen Datenmengeneffizient in-real-time auszuwerten. So können Anomalien im Netz frühzeitig erkannt und entsprechende Schutzmaßnahmen eingeleitet werden.
Haben Sie Fragen zur IT-Security?
Die COC-Security Spezialisten sind für Sie da!
Peter Reschka
Infrastructure & Cloud Expert
Ihr Kontakt