💭 Jeremys Brain

hash-angriffe

2 min read

Erlangen des Hashes

Die Verwendung von Passwörtern ist eine der häufigsten Methoden zur Authentifizierung. Obwohl es nicht immer möglich ist, ein Passwort direkt zu erlangen, können Angreifer oft den Passwort-Hash erhalten. Mit diesem Hash können sie entweder Relay-Angriffe durchführen oder versuchen, das Klartextpasswort durch Knacken des Hashes zu ermitteln.

Pass-the-Hash-Angriff

Ein Angriff, der Passwort-Hashes nutzt, ist der Pass-the-Hash (PtH)-Angriff auf das New Technology LAN Manager (NTLM) Protokoll. Hierbei versucht der Angreifer nicht, das Passwort zu knacken, sondern verwendet den Hash direkt zur Authentifizierung.

Schritte eines PtH-Angriffs:

  1. Erlangen des Hashes: Der Angreifer bringt das Betriebssystem oder eine Anwendung dazu, Passwort-Hashes aus dem RAM, der Windows-Registrierung oder aus Credentail-Dateien auszulesen.
  2. Authentifizierung mit dem Hash: Beim Anmeldeversuch beim Zielsystem gibt er den Benutzernamen und den Passwort-Hash anstelle des eigentlichen Passworts ein.
  3. Zugriff erlangen: Nach erfolgreicher Authentifizierung erhält der Angreifer Zugriff auf das Betriebssystem oder die Anwendung.

Kerberoasting

Kerberoasting ist eine weitere Methode, um an Passwort-Hashes zu gelangen, die speziell das Kerberos-Authentifizierungsprotokoll angreift.

Ablauf eines Kerberoasting-Angriffs:

  1. Identifizieren von Service Principal Names (SPNs): Der Angreifer sammelt SPNs, um Konten zu finden, die für Kerberoasting geeignet sind.
  2. Anfordern von Service-Tickets: Für die ausgewählten SPNs fordert er Service-Tickets an, z.B. von Servern mit hohen Berechtigungen.
  3. Extrahieren des verschlüsselten Tickets: Das erhaltene Service-Ticket wird ausgelesen; es ist mit dem NTLM-Hash des Dienstkontos verschlüsselt.
  4. Offline-Knacken des Passworts: Der Angreifer versucht nun, das Passwort des Dienstkontos offline zu knacken.

Mit dem erlangten Passwort kann der Angreifer dann weiterführende Angriffe durchführen und möglicherweise vollständige Kontrolle über das System erlangen. Kerberoasting ist besonders gefährlich, da Dienstkonten oft hohe Berechtigungen haben und deren Passwörter selten geändert werden.

Tags

PassTheHashKerberoastingNTLMKerberosLANProtokolleSicherheitAuthentifizierungCyberSecurity

Gehacktes-Overview

Graph View