Was sind Pass-the-Hash-Angriffe und wie kann man sie stoppen?

Pass-the-Hash-Angriffe sind eine Art von Cyberangriffen, die in letzter Zeit in der digitalen Welt große Aufmerksamkeit erregt haben. Bei einem Pass-the-Hash-Angriff (PtH) nutzen Hacker gehashte Passwörter oder gehashte Benutzeranmeldedaten aus, um sich unbefugten Zugang zu Systemen zu verschaffen.

PtH-Angriffe sind zu einem ernsten Problem geworden, da sie Cyber-Angreifern den unbefugten Zugriff auf Systeme und sensible oder vertrauliche Informationen ermöglichen. Es ist wichtig, die Mechanismen von PtH-Angriffen zu verstehen und geeignete Präventivmaßnahmen zu ergreifen, um sich vor ihnen zu schützen.

Wenn Sie mit Pass-the-Hash-Angriffen und Hash-Passwörtern nicht vertraut sind, erfahren Sie in diesem Leitfaden mehr über die Funktionsweise von Pass-the-Hash-Angriffen, einschließlich Beispielen aus der Praxis und empfohlenen Maßnahmen zur Abschwächung von PtH-Angriffen.

Verständnis von Pass-the-Hash (PtH) Angriffen

Bei einem Pass-the-Hash (PtH)-Angriff stiehlt der Cyber-Angreifer den Hash der Benutzerdaten oder des Passworts und benutzt ihn, um ein Authentifizierungssystem zu täuschen und eine neue authentifizierte Sitzung im selben Netzwerk zu erzeugen.

Sobald der Cyber-Angreifer Zugriff auf die gesamte Angriffsfläche oder die Systeme hat, kann er verschiedene bösartige Aktivitäten durchführen, sensible Daten kompromittieren oder sogar seine Privilegien innerhalb des Systems ausweiten.

Aber was genau bedeutet ein Passwort-Hash?

Ein Passwort-Hash ist die verschlüsselte Version Ihres Passworts. Wenn Sie ein Systemkennwort festlegen, errechnet das Betriebssystem mithilfe einer mathematischen Formel einen Hash für das Kennwort. Anstatt das eigentliche Kennwort zu speichern, speichert das System den Kennwort-Hash.

Beim Pass-the-Hash-Verfahren muss der Cyber-Angreifer also nicht das eigentliche Kennwort des Benutzers kennen, sondern benötigt nur den gespeicherten Kennwort-Hash, um in das Benutzerkonto einzudringen und sich unbefugten Zugang zu verschaffen. Für einen Hacker ist der Zugriff auf einen Passwort-Hash daher gleichbedeutend mit dem Zugriff auf das tatsächliche Benutzerpasswort.

Wie Pass-the-Hash-Angriffe funktionieren

Pass-the-Hash-Angriffe nutzen Schwachstellen in privilegierten Konten aus, um unbefugten Zugriff auf kritische Systeme zu erhalten und möglicherweise die gesamte Netzwerkinfrastruktur zu kompromittieren.

Im Folgenden wird der schrittweise Prozess beschrieben, den Cyber-Angreifer bei Pass-the-Hash-Angriffen durchführen.

Zunächst verwendet der Hacker Malware oder Social-Engineering-Techniken wie Phishing, um Zugriff auf das Konto oder Gerät eines Benutzers zu erhalten.

Sobald die Hacker auf das Konto zugegriffen haben, verwenden sie verschiedene spezialisierte Tools und Techniken, um den aktiven Speicher auszulesen, aus dem sie Daten ableiten können, die sie zu Passwort-Hashes führen.

Sobald sie erfolgreich Passwort-Hashes gefunden haben, geben Hacker den Hash von einer Anmeldung zur nächsten weiter, nutzen die Single-Sign-On-Technologie aus, erstellen authentifizierte Sitzungen, geben sich als legitime Benutzer aus und bewegen sich seitlich durch das Netzwerk.

Mit dieser seitlichen Bewegung fahren die Hacker fort, Hashes im gesamten Netzwerk zu stehlen, in der Hoffnung, Hashes von Benutzerkonten mit mehr Geschäftsprivilegien innerhalb des Unternehmensnetzwerks zu finden und auszunutzen.

Der Zugriff auf den Kennwort-Hash eines privilegierten Benutzerkontos und den administrativen Zugriff verschafft den Hackern Zugang zu viel mehr vertraulichen Informationen und Dateien sowie einen größeren Zugriff auf das Netzwerk und seine Daten.

Sobald die Hacker die gesuchten Daten gefunden haben, führen sie bösartige Cyberangriffe durch, wie z. B. Identitätsdiebstahl, Ransomware oder andere Arten von Datenverletzungen.

Schlüsselkomponenten von Pass-the-Hash-Angriffen

Bei Pass-the-Hash-Angriffen werden gehashte Anmeldedaten erbeutet, anstatt Passwörter im Klartext zu stehlen. Um zu verstehen, wie man sich gegen PtH-Angriffe verteidigen kann, ist es wichtig, die wichtigsten Komponenten zu kennen und zu wissen, wie sie ausgenutzt werden. Hier sind die wichtigsten Komponenten von Pass-the-Hash-Angriffen:

Passwort-Hashes: Cyber-Angreifer stehlen oder erbeuten Hash-Versionen von Passwörtern, anstatt Klartext-Passwörter zu stehlen, um unbefugten Zugriff auf Netzwerke oder Systeme zu erhalten. Bei diesen Hashes handelt es sich um in den Systemen gespeicherte Zeichenketten fester Länge, die dem ursprünglichen Passwort eindeutig zugeordnet sind.

Credential Dumping Tools: Angreifer verwenden auch Tools wie Mimikatz und andere, die Passwort-Hashes oder Klartext-Passwörter aus dem LSASS-Prozess (Local Security Authority Subsystem Service) extrahieren können, um diese Anmeldeinformationen aus dem Speicher der kompromittierten Systeme auszulesen.

NTLM oder Kerberos: Pass-the-Hash-Angriffe werden häufig mit Windows-Umgebungen wie NT LAN Manager (NTLM) oder Kerberos-Authentifizierungsprotokollen in Verbindung gebracht. Diese Protokolle speichern Hash-Versionen von Passwörtern, die Cyber-Angreifer ausnutzen, um auf Systeme zuzugreifen.

Pass-the-Ticket (PtT) und Pass-the-Key (PtK): Ähnlich wie bei den PtH-Angriffen nutzen Cyber-Angreifer auch Pass-the-Key (PtK) oder Pass-the-Ticket (PtT), um anstelle von Passwort-Hashes Kerberos-Tickets oder Schlüsselmaterial auszunutzen, um sich unberechtigten Zugang zu verschaffen.

Seitliche Bewegung: Nachdem sie gehashte Anmeldedaten extrahiert haben, verwenden Cyber-Angreifer diese Anmeldedaten, um sich später innerhalb des Netzwerks zu bewegen. Auf diese Weise können sie auf verschiedene Systeme zugreifen oder ihre Privilegien ausweiten, um möglicherweise Zugang zu sensibleren Informationen zu erhalten.

Techniken zur Umgehung der Verteidigung: Cyber-Angreifer verwenden verschiedene Techniken, um sich der Entdeckung zu entziehen, z. B. das Aufspüren von Protokollen, das Deaktivieren von Sicherheitstools oder die Verwendung vorsichtiger Methoden, um sich seitlich im Netzwerk zu bewegen.

Umgehung des Hash: In einigen Fällen manipulieren oder ersetzen Cyberkriminelle den ursprünglichen Passwort-Hash durch einen neuen Passwort-Hash, indem sie die Overpass-the-Hash-Technik anwenden und so das Passwort des kompromittierten Kontos ändern.

Häufige Angriffsvektoren von Pass-the-Hash-Angriffen

Privilegierte Konten, z.B. solche mit Domänenadministrator- oder Admin-Rechten, werden zu bevorzugten Zielen für PtH-Angriffe. Im Folgenden finden Sie einige der häufigsten Angriffsvektoren, die Cyber-Angreifer nutzen, um sich unbefugt Zugang zu Systemen zu verschaffen und Pass-the-Hash-Angriffe durchzuführen:

Schwache Authentifizierungsprotokolle

Schwache Standard-Authentifizierungsprotokolle oder eine fehlende Multi-Faktor-Authentifizierung (MFA) sind oft anfällig für Pass-the-Hash-Angriffe. Cyber-Angreifer nutzen die Schwachstellen dieser Protokolle, um Passwort-Hashes zu extrahieren und zu missbrauchen und schließlich das jeweilige Konto zu kompromittieren.

Veraltete Authentifizierungsmechanismen

Darüber hinaus haben es Cyber-Angreifer auch auf ältere Authentifizierungsmechanismen abgesehen, denen es an robusten Authentifizierungsprotokollen mangelt. Da diese Protokolle nicht unbedingt Passwort-Hashes schützen, ist es für Cyber-Angreifer viel einfacher und bequemer, diese für einen unbefugten Zugriff zu extrahieren.

Windows-Betriebssysteme

Windows-Umgebungen, insbesondere diejenigen, die Active Directory verwenden, sind anfällig für Pass-the-Hash-Angriffe. Aufgrund der weiten Verbreitung von Windows-Betriebssystemen in Unternehmensumgebungen und ihrer schwachen Authentifizierungsmechanismen ist das Windows-Betriebssystem der häufigste Zielvektor von PtH-Angriffen.

Insider-Bedrohungen

Böswillige Insider mit privilegiertem Zugang zu Netzwerken und Systemen stellen eine erhebliche Bedrohung für Unternehmen dar und dienen als gängige Angriffsvektoren für verschiedene Cybersicherheitsangriffe, einschließlich Pass-the-Hash-Angriffen. Diese Insider missbrauchen ihre Privilegien, um Passwort-Hashes zu extrahieren, um entweder selbst PtH-Angriffe durchzuführen oder anderen Angreifern dabei zu helfen, dies zu tun.

Unsichere Netzwerkkommunikationskanäle

In Fällen, in denen der Netzwerkkommunikationskanal nicht angemessen geschützt oder verschlüsselt ist, wird es für Cyber-Angreifer einfacher, die Kommunikation zu belauschen, Hash-Passwörter zu identifizieren und zu extrahieren und PtH-Angriffe auszuführen.

Beispiele aus der realen Welt für Pass-the-Hash-Angriffe

Pass-the-Hash-Angriffe haben schwerwiegende Auswirkungen und Folgen für Unternehmen, von rechtlichen Verpflichtungen bis hin zu Verstößen gegen die Compliance. Unternehmen können ihre Verteidigung gegen Angriffe verbessern und sensible Informationen schützen, indem sie Beispiele aus der Praxis und die Konsequenzen verstehen. Hier sind einige Beispiele aus der Praxis für Pass-the-Hash-Angriffe:

#1. Der Diaxin-Team-Angriff: “Der Patientendaten-Verlust”

Die als ” Diaxin Team” bekannte Datenerpressergruppe stahl im Jahr 2022 mit Hilfe eines Pass-the-Hash-Angriffs mehr als 40 GB an Daten aus dem Fitzgibbon Hospital in Marshall, MO. Zu den gestohlenen Daten gehörten sensible Patientendaten wie Namen, Sozialversicherungsnummern, Geburtsdaten und wichtige medizinische Unterlagen. Das Krankenhaus hat bestätigt, dass von diesem Angriff über 112.000 Patienten betroffen waren.

Real-World-Examples-of-Pass-the-Hash-Attacks

#2. Angriff auf Electrobas & Copel: “Die Ransomware für Versorgungsunternehmen”

Im Februar 2021 berichteten die brasilianischen Stromversorgungsunternehmen Centrais Electricas Brasileiras (Electrobas) und Companhia Paranaense de Energia (Copel), dass sie Ziel von Ransomware-Angriffen waren, die durch den Pass-the-Hash-Angriff erleichtert wurden.

Böswillige Akteure kompromittierten das Active Directory (AD), insbesondere die NTDS.dit-Datei, und extrahierten die Passwort-Hashes. Dadurch konnten sie sich seitlich durch die Berechtigungskette des Benutzers bewegen, bis sie in der Lage waren, Hashes zu extrahieren, die genügend Berechtigungen hatten, um Ransomware-Angriffe auszuführen.

#3. Windows-Themen-Angriff: “Das bösartige Windows Theme Pack”

Im September 2020 deckte ein Sicherheitsforscher auf, dass Cyberkriminelle bösartige Windows 10 Theme Packs verbreiten, die Pass-the-Hash-Angriffe ermöglichen. Diese Themenpakete bieten Anpassungsmöglichkeiten für Sounds, Hintergrundbilder, Farben und mehr.

Wenn ein Benutzer auf das Windows-Themenpaket klickt, wird er zu einer Seite oder Ressource weitergeleitet, die den Zugriff auf die Hash-Werte seines Kennworts erfordert, wodurch Hacker die Anmeldedaten des Benutzers abfangen können.

Diese PtH-Angriffe haben erhebliche Auswirkungen auf Organisationen und Unternehmen, da sie unbefugten Zugriff und kompromittierte Anmeldedaten zur Folge haben. Dies führt zu Rufschädigung, Verstößen gegen gesetzliche Vorschriften sowie zum Verlust von Kundenvertrauen und Wettbewerbsvorteilen in der Branche. Daher ist es von entscheidender Bedeutung, diese Angriffe von vornherein abzuschwächen.

Beste Praktiken zur Verhinderung von Pass-the-Hash-Angriffen

Die Verhinderung von Pass-the-Hash-Angriffen erfordert einen vielschichtigen Sicherheitsansatz, der nicht nur technische Maßnahmen, sondern auch die Sensibilisierung und Schulung der Benutzer umfasst. Durch die Umsetzung dieser Best Practices können Unternehmen das Risiko von PtH-Angriffen erheblich verringern und die Integrität und Sicherheit ihrer Systeme und Daten gewährleisten.

Best Practices zur Verhinderung von Pass-the-Hash-Angriffen für Benutzer

Um Pass-the-Hash-Angriffe zu verhindern, ist es wichtig, Best Practices und Sicherheitsmaßnahmen zu implementieren. Im Folgenden finden Sie einige wichtige Empfehlungen zur Abschwächung von Pass-the-Hash-Angriffen für Benutzer:

Melden Sie sich regelmäßig ab und starten Sie Ihren Computer neu: Sobald Sie Ihre Arbeit beendet haben, ist das Abmelden von Ihrem Gerät eine der wichtigsten Sicherheitsmaßnahmen, um zu verhindern, dass andere darauf zugreifen. Gleichzeitig ist ein gelegentlicher Neustart des Geräts unerlässlich, um gespeicherte Hashes zu löschen, die Hacker bei einem Angriff leicht abgreifen können.

Klicken Sie nicht auf verdächtige Links: Pass-the-Hash-Angriffe beginnen oft mit anderen Arten von Phishing-Angriffen. Seien Sie daher vorsichtig mit den Links und E-Mail-Anhängen, die Sie erhalten, insbesondere wenn sie von unbekannten Absendern oder E-Mail-Adressen stammen. Diese Links oder Anhänge könnten mit Malware infiziert sein, die Ihr Gerät infiziert oder kompromittiert, wenn Sie darauf klicken oder sie herunterladen.

Verwenden Sie eine Firewall: Alle wichtigen Betriebssysteme verfügen über integrierte Basis-Firewalls, um nicht autorisierten Netzwerkverkehr zu filtern. Für kritische Umgebungen reicht dies jedoch nicht aus, so dass Sie am besten eine Firewall einrichten sollten.

Ändern Sie Ihre Passwörter regelmäßig: Das häufige Wechseln von Kennwörtern kann das Risiko von PtH-Angriffen erheblich verringern, da es das Zeitfenster oder die Dauer eines gültigen Kennwort-Hashes minimiert. Ein neues Passwort erfordert einen neuen Passwort-Hash, wodurch der alte Passwort-Hash abläuft oder ungültig wird.

Aktivieren Sie einen Popup-Blocker: Popups können Sie oft auf unsichere oder bösartige Websites umleiten, die oft mit Malware infiziert sind. Diese mit Malware verseuchten Websites unterstützen PtH-Angriffe. Indem Sie einen Popup-Blocker aktivieren, können Sie die Wahrscheinlichkeit verringern, dass Sie versehentlich auf bösartige und gefährliche Links klicken.

Halten Sie Ihr Betriebssystem auf dem neuesten Stand: Die Aktualisierung Ihres Betriebssystems ist eine gute Sicherheitspraxis, die dazu beiträgt, Sicherheitsrisiken und Schwachstellen zu vermeiden, da das neueste Betriebssystem-Upgrade mit den neuesten Sicherheits-Patches ausgestattet ist.

Best Practices zur Verhinderung von Pass-the-Hash-Angriffen für Systemadministratoren

Die Verhinderung von PtH-Angriffen ist für die Aufrechterhaltung der Sicherheit Ihres Systems entscheidend. Im Folgenden finden Sie einige bewährte Verfahren, die Systemadministratoren befolgen sollten, um das Risiko von PtH-Angriffen zu verringern.

Deaktivieren Sie Lan Management (LM) Hashes: Windows speichert Kennwörter unter Verwendung von Windows NT und LM-Hash. Da LM-Hashes laut Windows schwächer sind als Windows NT-Hashes und anfällig für Brute-Force-Angriffe, ist die Deaktivierung dieser Hashes entscheidend, um das Risiko von PtH-Angriffen zu vermeiden.

Aktivieren Sie Defender Windows Credential Guard: Windows Defender Credential Guard ist ein Sicherheitstool, das in Windows 10 und höher zur Verfügung steht, um PtH-Angriffe abzuschwächen.

Vermeiden Sie die Verwendung des Remote Desktop Protocol (RDP) für die Verwaltung von Benutzer-Workstations: Mehrere RDP-Anwendungen speichern Kopien Ihrer Passwort-Hashes, wodurch sich die Angriffsfläche für PtH-Angriffe vergrößert. Daher ist die Verwendung eines Konsolentools, mit dem Sie sich mit entfernten Computern verbinden können, wesentlich sicherer als die Verwendung von RDP.

Begrenzen Sie die Anzahl der Konten mit Administratorrechten: Böswillige Akteure benötigen Administratorrechte, um Hashes aus dem Local Security Authority Subsystem Service (LSASS) zu extrahieren. Daher ist es wichtig, die Anzahl der Administratorkonten zu begrenzen, um es Cyberkriminellen zu erschweren, PtH-Angriffe über Ihr Unternehmensnetzwerk durchzuführen.

Verwenden Sie Microsoft Local Administrator Password Solution (LAPS): LAPS ist ein Windows-Sicherheitstool, das, wenn es aktiviert ist, sicherstellt, dass das lokale Administratorkonto für jeden neuen Computer, an dem es sich anmeldet, ein anderes komplexes Kennwort erstellt und verwendet. Dies schränkt die Risiken und Chancen eines Cyberangreifers ein und sorgt für Sicherheit gegen PtH-Angriffe.

Automatisieren Sie Passwortänderungen für Systemadministratoren: Die Automatisierung häufiger Passwortänderungen für Admin-Anmeldedaten kann es Cyber-Angreifern erheblich erschweren, PtH-Angriffe auszuführen – und so das Zeitfenster begrenzen, in dem sie potenziell schweren Schaden anrichten können, wenn es ihnen gelingt, den Passwort-Hash des Administrators zu extrahieren.

Strategien zur wirksamen Abwehr von Pass-the-Hash-Angriffen

Um Ihr Unternehmen vor PtH-Angriffen zu schützen, ist es wichtig, wirksame Strategien zur Eindämmung zu implementieren. Hier sind einige Strategien, die Sie in Betracht ziehen sollten:

#1. Planung der Reaktion auf Vorfälle

Bei PtH-Angriffen ist ein Notfallplan unerlässlich, der Verfahren zur Identifizierung des Angriffs, zur Erkennung und Sicherung von Beweisen, zur Benachrichtigung der übergeordneten Behörden und Interessengruppen sowie zur Wiederherstellung von Daten und Systemen umfasst. Wenn Sie also über ein ausgewiesenes und geschultes Reaktionsteam und ein zuverlässiges System zur Datensicherung und -wiederherstellung verfügen, können Sie die Auswirkungen von PtH-Angriffen auf ein Minimum reduzieren und die Sicherheit Ihres Unternehmens gewährleisten.

Strategies-for-Effective-Mitigation-to-Pass-the-Hash-Attacks

#2. Regelmäßige Sicherheitsbewertungen und Audits

Regelmäßige Sicherheitsaudits helfen Unternehmen und Organisationen, Schlupflöcher und Schwachstellen zu erkennen, die PtH-Angriffen Tür und Tor öffnen. Diese Bewertungen und Audits können die Prüfung veralteter Software und Firmware, schwacher Passwörter und ungesicherter Anwendungen und Systeme umfassen.

#3. Schulung und Sensibilisierung

Schulungen zum Sicherheitsbewusstsein sind ein wichtiger Schritt für jedes Unternehmen und jede Organisation, um Pass-the-Hash-Angriffe und andere Angriffe auf die Cybersicherheit zu entschärfen. Dieses Training hilft, Benutzer und Mitarbeiter über Präventivmaßnahmen, Passwortsicherheitspraktiken, das Erkennen verdächtiger Aktivitäten, die Implementierung starker Passwortrichtlinien und Cybersicherheitspraktiken zu informieren, um Risiken wie PtH-Angriffe effektiv zu bewältigen.

#4. Privilegierte Zugriffsverwaltung (PAM)

Privileged Access Management-Lösungen helfen dabei, die Anfälligkeit für Pass-the-Hash-Angriffe zu begrenzen, indem sie den Zugriff auf privilegierte Konten kontrollieren und überwachen. Durch die Implementierung granularer Zugriffskontrollen können Unternehmen sicherstellen, dass nur autorisierte Benutzer Zugriff auf wichtige Systeme und Informationen haben.

Proteja su red: Prevención de ataques Pass-the-Hash

Pass-the-Hash-Angriffe sind im Vergleich zu anderen Arten von Cyberangriffen, wie Phishing und Ransomware, schwer zu erkennen oder zurückzuverfolgen. Bei diesen Angriffen wird ein legitimer Passwort-Hash verwendet, um sich unbefugten Zugang zu einem Unternehmensnetzwerk zu verschaffen und potenziell Schaden anzurichten.

Für Unternehmen und Sicherheitsbehörden ist es wichtig, PtH-Angriffe ernst zu nehmen und Zeit und Mühe zu investieren, um ihre Funktionsweise und möglichen Folgen zu verstehen und wirksame Sicherheitsmaßnahmen zur Verhinderung und Eindämmung dieser Angriffe zu implementieren. Implementieren Sie daher die oben genannten Sicherheitsmaßnahmen, um sich vor PtH-Angriffen zu schützen und die Sicherheit Ihres Unternehmens zu stärken.

Tejal Sushir
Beitragender
- LinkedIn
Tejal ist eine erfahrene B2B-SaaS-Content-Autorin für E-Commerce und Marketing, die sich auf Webhosting, KI und ML, Cloud und Cybersicherheit, SEO und digitales Marketing spezialisiert hat. Sie hat einen B.E. in Elektronik und Telekommunikationstechnik und liest gerne Romane, Marketing- und Unternehmer-Newsletter und Twitter-Feeds von glaubwürdigen SEO-Autoren, wenn sie nicht gerade schreibt.