Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Knacken von Active Directory-Passwörtern mit AS-REP Roasting

Knacken von Active Directory-Passwörtern mit AS-REP Roasting

Nov 3, 2022

Eine kritische Methode, mit der Angreifer Zugang zu einer IT-Umgebung erhalten und ihre Privilegien eskalieren, besteht darin, Benutzer-Passworthashes zu stehlen und sie offline zu knacken. Wir haben eine Methode zum Sammeln von Dienstkontenpasswörtern in unserem Beitrag über Kerberoasting behandelt. Hier werden wir eine Technik erkunden, die gegen bestimmte Benutzerkonten wirkt, AS-REP Roasting. Wir werden erläutern, wie Angreifer AS-REP Roasting mit dem Werkzeug Rubeus durchführen und wie Sie Ihre Organisation gegen diese Angriffe verteidigen können.

Was ist AS-REP Roasting?

AS-REP Roasting ist eine Technik, die es Angreifern ermöglicht, die Passworthashes von Benutzerkonten zu stehlen, bei denen die Kerberos-Vorauthentifizierung deaktiviert ist, um sie dann offline zu knacken.

Wenn die Vorauthentifizierung aktiviert ist, beginnt ein Benutzer, der Zugang zu einer Ressource benötigt, den Kerberos-Authentifizierungsprozess, indem er eine Authentication Server Request (AS-REQ)-Nachricht an den Domain-Controller (DC) sendet. Der Zeitstempel dieser Nachricht ist mit dem Hash des Benutzerpassworts verschlüsselt. Wenn der DC diesen Zeitstempel mit seinem eigenen Datensatz des Benutzerpasswort-Hashs entschlüsseln kann, sendet er eine Authentication Server Response (AS-REP)-Nachricht zurück, die ein vom Key Distribution Center (KDC) ausgestelltes Ticket Granting Ticket (TGT) enthält, das für zukünftige Zugriffsanfragen des Benutzers verwendet wird.

Allerdings könnte ein Angreifer, wenn die Vorauthentifizierung deaktiviert ist, Authentifizierungsdaten für einen beliebigen Benutzer anfordern und der DC würde eine AS-REP-Nachricht zurücksenden. Da ein Teil dieser Nachricht mit dem Passwort des Benutzers verschlüsselt ist, kann der Angreifer dann versuchen, das Passwort des Benutzers offline zu knacken.

Glücklicherweise ist die Vorauthentifizierung standardmäßig in Active Directory aktiviert. Sie kann jedoch für ein Benutzerkonto mit der unten gezeigten Einstellung deaktiviert werden:

Image

Durchführung von AS-REP Roasting mit Rubeus

Mit Rubeus können Sie ganz einfach AS-REP Roasting durchführen, um zu sehen, wie dieser Angriff in Ihrer Umgebung funktionieren würde. Geben Sie einfach den folgenden Befehl ein:

      Rubeus.exe asreproast

Dies wird automatisch alle Konten finden, die keine Vorauthentifizierung benötigen und ihre AS-REP-Hashes für das Offline-Knacken extrahieren, wie hier gezeigt:

Image

Lassen Sie uns dieses Beispiel einen Schritt weiterführen und die Daten in einem Format extrahieren, das offline von Hashcat geknackt werden kann. Dieser Befehl gibt die AS-REP-Hash-Informationen in eine Textdatei aus:

      Rubeus.exe asreproast /format:hashcat /outfile:C:\Temp\hashes.txt

Dann ist es einfach, Hashcat zu verwenden, um die gefundenen Hashes zu knacken. Wir müssen lediglich den richtigen Hash-Modus-Code für AS-REP-Hashes, unsere Hash-Datei und ein Wörterbuch angeben, um das Brute-Force-Passwortraten durchzuführen:

      hashcat64.exe -m 18200 c:\Temp\hashes.txt example.dict
Image

Schutz vor AS-REP Roasting

Wie Sie sehen können, bietet AS-REP Roasting eine einfache Methode, um die Passworthashes von Benutzerkonten zu stehlen, die keine Vorauthentifizierung benötigen, ohne dass spezielle Berechtigungen erforderlich sind. Glücklicherweise gibt es mehrere wirksame Methoden, um sich gegen diese Angriffe zu verteidigen.

Fordern Sie eine kostenlose Testversion von Netwrix Access Analyzer an

Identifizieren Sie Konten, die keine Vorauthentifizierung benötigen

Der beste Weg, um AS-REP Roasting-Angriffe zu blockieren, besteht darin, alle Benutzerkonten zu finden, die so eingestellt sind, dass sie keine Kerberos-Vorauthentifizierung benötigen, und dann diese Einstellung zu aktivieren. Dieses Skript wird diese anfälligen Konten finden:

      Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name

Das Ergebnis sieht so aus:

Image

Passwortstärke

Ein weiterer starker Schutz gegen AS-REP Roasting-Angriffe besteht darin, lange, komplexe Passwörter zu verlangen, die schwer zu knacken sind, selbst wenn es einem Angreifer gelingt, sie zu stehlen. Die Verwendung von fine-grained password policies — insbesondere für privilegierte Konten — ist ein großartiger erster Schritt.

AD-Privilegien

Es ist auch entscheidend zu wissen, welche Benutzerkonten die erforderlichen Berechtigungen haben, um die Einstellung zu ändern, die steuert, ob die Vorauthentifizierung aktiviert ist, da sie diese für gerade genug Zeit deaktivieren könnten, um den AS-REP-Hash zu erhalten und dann wieder zu aktivieren. Diese Abfrage listet alle Zugriffsrechte über Benutzerkonten auf, die keine Vorauthentifizierung benötigen:

      (Get-ACL "AD:\$((Get-ADUser -Filter 'useraccountcontrol -band 4194304').distinguishedname)").access
Image

Änderungsüberwachung

Schließlich sollten Sie auch die Deaktivierung der Kerberos-Vorauthentifizierung überwachen. Ereignis 4738 protokolliert Änderungen an dieser Benutzereinstellung:

Image

Alternativ können Sie die Ereignis-ID 5136 überwachen:

Image

Wie kann Netwrix helfen?

Sichern Sie Ihr Active Directory von Anfang bis Ende mit der Netwrix Active Directory Security Solution. Dadurch wird es Ihnen ermöglicht:

  • Decken Sie Sicherheitsrisiken in Active Directory auf und priorisieren Sie Ihre Bemühungen zur Risikominderung.
  • Verstärken Sie die Sicherheitskonfigurationen in Ihrer IT-Infrastruktur.
  • Erkennen und enthalten Sie umgehend auch fortgeschrittene Bedrohungen wie Kerberoasting, DCSync , NTDS.dit extraction und Golden Ticket attacks.
  • Reagieren Sie sofort auf bekannte Bedrohungen mit automatisierten Antwortoptionen.
  • Minimieren Sie Geschäftsunterbrechungen mit schneller Active Directory-Wiederherstellung.

FAQ

Wofür steht AS-REP?

AS-REP steht für Authentication Service (AS) Response Message. Es handelt sich um eine Art von Nachricht, die während der Kerberos-Authentifizierung zwischen einem Server und einem Client übertragen wird.

Welche Benutzer sind anfällig für AS-REP-Roasting?

AS-REP Roasting kann nur gegen Benutzerkonten verwendet werden, bei denen die Kerberos-Vorauthentifizierung deaktiviert ist

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Joe Dibley

Sicherheitsforscher

Security Researcher bei Netwrix und Mitglied des Netwrix Security Research Teams. Joe ist ein Experte für Active Directory, Windows und eine Vielzahl von Unternehmenssoftwareplattformen und -technologien. Joe erforscht neue Sicherheitsrisiken, komplexe Angriffstechniken sowie zugehörige Milderungs- und Erkennungsmaßnahmen.

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen