Diese Seminararbeit untersucht die wachsende Bedrohung durch Cyberangriffe, die sich aufgrund der zunehmenden Abhängigkeit von digitalen Technologien und komplexen IT-Infrastrukturen wie dem Active Directory verstärken. Insbesondere die Gefahren durch Password-Stealing und Golden-Ticket-Attacken, ermöglicht durch Tools wie Mimikatz, werden detailliert analysiert. Die zentrale Rolle von Kerberos im Active Directory und dessen Anfälligkeit für solche Angriffe wird beleuchtet. Ziel der Arbeit ist es, einen Überblick über aktuelle Forschungsergebnisse zu bieten und zu diskutieren, inwiefern Unternehmen sich wirksam gegen diese Bedrohungen schützen können oder ob eine vollständige Verhinderung solcher Angriffe überhaupt möglich ist.
Inhaltsverzeichnis
1 Einleitung
1.1 Einführung
1.2 Methodik
2 Theoretische Grundlagen und Definition der Begriffe
2.1 Grundlagen und Definition von Password-stealing
2.2 Grundlagen und Definition des Kerberos Protokolls
2.2.1 Beschreibung und Funktionsweise
2.3 Grundlagen und Definition von Golden Tickets
2.4 Grundlagen und Definition von Mimikatz
3 Hauptteil
3.1 Funktionsweise einer Golden-Ticket Attacke auf ein Windows Netzwerk
3.2 Präventionsmaßnahmen
3.3 Detektionsmöglichkeiten
3.4 Mitigationsmaßnahmen
4 Diskussion
4.1 Kritische Bewertung
5 Fazit
5.1 Zusammenfassung der Hauptkenntnisse und Implikationen für die Praxis
Zielsetzung & Themen
Die vorliegende Seminararbeit verfolgt das Ziel, die Effektivität von Unternehmen bei der Abwehr und Mitigation von Golden-Ticket-Angriffen in Windows-Umgebungen zu untersuchen, wobei der Schwerpunkt auf der Funktionsweise der Angriffe und relevanten Forschungsansätzen liegt.
- Grundlagen von Password-Stealing und Kerberos-Protokollen
- Mechanismen von Golden-Ticket-Angriffen mittels Mimikatz
- Präventionsstrategien zur Absicherung von Domain Controllern
- Methoden zur Detektion von Angriffsaktivitäten in Event Logs
- Diskussion und Bewertung aktueller Verteidigungsmöglichkeiten
Auszug aus dem Buch
Erstellung des Golden Tickets:
Zur Erstellung des Golden Tickets braucht man außerdem noch den Domänennamen und die Domänen-SID. Der Domänenname kann in cmd mittels: echo %userdomain% festgestellt werden. Auch die Domänen-SID (Security Identifier of Domain) kann einfach mittels PowerShell und dem Befehl: whoami /user herausgefunden werden. Wenn man diese Parameter herausgefunden hat, kann man das Golden Ticket erstellen, dafür reicht es als Authentifizierung aus, den NTLM-Hash des KRBTGT-Accounts bereitzustellen. Mittels kerberos::golden /user /domain /domain-SID /krbtgt-Hash /id:ticket-receiver wird ein Golden Ticket für die ID des Receivers erstellt (Motero et al., 2021; Grippo and Kholidy, 2022; Jeannot, 2023).
Zusammenfassung der Kapitel
1 Einleitung: Diese Einleitung führt in die Relevanz der IT-Sicherheit in modernen Unternehmensnetzwerken ein und definiert die Problemstellung durch Sicherheitsrisiken im Active Directory.
2 Theoretische Grundlagen und Definition der Begriffe: Hier werden die Kernelemente Password-Stealing, das Kerberos-Protokoll, die spezifische Gefahr von Golden Tickets sowie das Tool Mimikatz wissenschaftlich definiert und erläutert.
3 Hauptteil: Dieser Abschnitt beschreibt detailliert den Ablauf eines Golden-Ticket-Angriffs und analysiert sowohl präventive Maßnahmen als auch technische Möglichkeiten zur Detektion und Mitigation.
4 Diskussion: Hier findet eine kritische Auseinandersetzung darüber statt, wie effektiv Unternehmen aktuelle Verfahren zur Verteidigung gegen Golden-Ticket-Angriffe einsetzen können.
5 Fazit: Das Fazit fasst die zentralen Erkenntnisse zusammen und betont die Notwendigkeit einer ganzheitlichen Sicherheitsstrategie trotz der Herausforderungen durch stetig weiterentwickelte Bedrohungswerkzeuge.
Schlüsselwörter
Active Directory, Kerberos, Golden Ticket, Mimikatz, Password-Stealing, Windows Security, Cyber-Sicherheit, Domain Controller, Event Logs, Präventionsmaßnahmen, Detektionsmöglichkeiten, KRBTGT, Authentifizierung, IT-Sicherheit, Netzwerkpersistenz
Häufig gestellte Fragen
Worum geht es in dieser Arbeit?
Die Arbeit befasst sich mit der Analyse und Abwehr von Golden-Ticket-Angriffen, einer schwerwiegenden Bedrohung für Windows-basierte Netzwerke, die das Kerberos-Protokoll kompromittieren.
Welche zentralen Themenbereiche werden behandelt?
Die zentralen Themen sind Password-Stealing, die Funktionsweise des Active Directory, die Verwendung des Tools Mimikatz für Angriffe sowie Strategien zur Prävention und Detektion.
Was ist das primäre Ziel der Untersuchung?
Das Ziel ist es, aufzuzeigen, wie effektiv Unternehmen sich gegen Golden-Ticket-Angriffe schützen können und welche Methoden der Erkennung und Schadensbegrenzung wissenschaftlich belegt sind.
Welche wissenschaftliche Methode wurde angewandt?
Die Arbeit basiert auf der Methodik der qualitativen Literaturanalyse, bei der aktuelle Forschungsergebnisse und wissenschaftliche Publikationen zusammengeführt und kritisch diskutiert werden.
Welche Aspekte werden im Hauptteil beleuchtet?
Der Hauptteil erläutert technisch den Ablauf eines Angriffs, stellt Präventionsmaßnahmen für Domain Controller vor, analysiert verschiedene Detektionsansätze durch Log-Auswertung und diskutiert Strategien zur Schadensmitigation.
Durch welche Schlüsselwörter lässt sich die Arbeit beschreiben?
Die wichtigsten Schlagworte sind Active Directory, Golden Ticket, Mimikatz, Kerberos, Cyber-Sicherheit und Event Log Analyse.
Warum ist das KRBTGT-Konto für Angreifer besonders interessant?
Mit dem Hash des KRBTGT-Kontos kann ein Angreifer gefälschte Tickets erstellen, die ihm unbegrenzten administrativen Zugriff auf alle Ressourcen im Netzwerk erlauben, ohne dass eine Verbindung zum Domain Controller dauerhaft erforderlich ist.
Kann man sich zu 100% vor Golden-Ticket-Angriffen schützen?
Die Arbeit kommt zu dem Schluss, dass absolute Sicherheit in der aktuellen schnelllebigen IT-Landschaft schwer zu gewährleisten ist, weshalb eine kontinuierliche Anpassung der Sicherheitsmaßnahmen unerlässlich bleibt.
- Quote paper
- Anonym (Author), 2024, Schutz vor Cyberbedrohungen. Golden-Ticket-Attacken, Mimikatz und Password-Stealing im Active Directory, Munich, GRIN Verlag, https://www.grin.com/document/1499846
