Credential-basierte Angriffe: Haupttypen, Funktionsweise und Abwehrstrategien

Credential-basierte Angriffe stellen nach wie vor eine erhebliche Bedrohung für Unternehmen jeder Größe dar. Laut dem Verizon Data Breach Investigations Report (DBIR) sind verlorene oder gestohlene Anmeldedaten der häufigste Weg für Cyberkriminelle, sichInitialzugang zu Systemen zu verschaffen. Google Cloud gab an, dass Systeme mit schwachen oder fehlenden Anmeldedaten der häufigsteInitialzugangsvektor waren und im ersten Halbjahr des vergangenen Jahres 47 % der Angriffe auf Cloud-Umgebungen in ihrem Threat Horizon Report ausmachten. Diese Statistiken unterstreichen die Notwendigkeit für IT-Experten und Systemadministratoren, diese Angriffe zu verstehen und zu minimieren.

Credential-basierte Angriffe werden von Hackern aufgrund ihrer Einfachheit, hohen Erfolgsquote und der erheblichen Belohnungen, die sie bieten, bevorzugt. Durch das Verständnis dieser Motivationen können IT-Experten und Systemadministratoren sich besser vorbereiten und wirksame Abwehrmaßnahmen zum Schutz ihrer Organisationen implementieren. Wir werden die häufigsten Arten von Passwortangriffen, ihre Funktionsweise und die Bereiche behandeln, in denen Sie Ihre Abwehrmaßnahmen verstärken sollten, um nicht kompromittiert zu werden.

Was ist ein Credential-basierter Angriff?

Ein Credential-basierter Angriff ist eine Art Cyberangriff, bei dem ein Angreifer versucht, Benutzeranmeldedaten wie Benutzernamen und Passwörter zu stehlen und zu missbrauchen, um sich unbefugten Zugriff auf Systeme, Netzwerke und Anwendungen zu verschaffen. Das Hauptziel des Angreifers ist es, Sicherheitsmaßnahmen zu umgehen und legitime Benutzer zu imitieren, um so Zugriff auf sensible Informationen und Ressourcen zu erhalten. Diese Angriffe führen häufig zu Datenschutzverletzungen, finanziellen Verlusten und Rufschädigung.

Arten von Passwortangriffen

Angriffe, die sich auf Passwörter konzentrieren, gibt es in verschiedenen Formen, jede mit ihren eigenen Methoden und Auswirkungen. Hier sind einige der häufigsten Typen:

Brute-Force-Angriffe

Brute-Force-Techniken beinhalten das systematische Ausprobieren jeder möglichen Zeichenkombination, bis das richtige Passwort gefunden ist. Obwohl sie zeitaufwändig sind, können sie gegen schwache oder kurze Passwörter wirksam sein.

Wörterbuchangriffe

Ein Passwort-Wörterbuchangriff beinhaltet die Verwendung einer Liste von gebräuchlichen Wörtern, Phrasen oder zuvor verwendeten Passwörtern, um systematisch zu versuchen, sich in das Konto eines Benutzers einzuloggen. Diese Methode beruht auf der Tatsache, dass viele Menschen einfache, leicht zu erratende Passwörter verwenden, was sie zu einer relativ schnellen und effektiven Möglichkeit für Angreifer macht, sich unbefugten Zugriff zu verschaffen.

Hybridangriffe

Ein hybrider Passwortangriff kombiniert Elemente von Wörterbuchangriffen und Brute-Force-Angriffen, indem er eine Liste von gebräuchlichen Wörtern verwendet und verschiedene Zeichen, Zahlen oder andere Variationen anfügt. Dieser Ansatz erhöht die Wahrscheinlichkeit, komplexe Passwörter zu erraten, ist aber dennoch effizienter als ein reiner Brute-Force-Angriff.

Maskenangriffe

Ein Masken-Passwortangriff verwendet vordefinierte Muster, wie z. B. bestimmte Zeichensätze und Positionen, um systematisch Passwörter zu erraten. Diese Methode verengt den Suchraum, indem sie sich auf gängige Passwortstrukturen konzentriert, wodurch sie effizienter als ein Brute-Force-Angriff ist und dennoch gegen komplexe Passwörter wirksam ist.

Kerberoasting

Kerberoasting ist ein Credential-basierter Angriff, der auf Dienstkonten in Active Directory-Umgebungen abzielt. Dabei werden Diensttickets für Dienstkonten angefordert und dann offline geknackt, um das Passwort des Kontos zu erhalten.

Credential Stuffing

Angreifer verwenden Listen mit gestohlenen Anmeldedaten aus einer Sicherheitsverletzung, um den Zugriff auf andere Konten zu versuchen. Credential-Stuffing-Methoden beruhen auf der gängigen Praxis von Benutzern, Passwörter auf mehreren Websites wiederzuverwenden.

Password Spraying

Ähnlich wie bei Brute-Force-Techniken versuchen Angreifer nicht viele Passwörter für ein Konto, sondern versuchen einige gängige Passwörter für viele Konten. Eine Password-Spraying-Methode löst weniger wahrscheinlich Kontosperrungen aus. Microsoft wurde kürzlich von einem erfolgreichen Password-Spraying-Hack getroffen.

Ransomware

Obwohl Ransomware selbst nicht unbedingt ein Credential-basierter Angriff ist, beginnen sie oft so. Eine Studie ergab, dass bei fast 40 % der Ransomware-Angriffe im letzten Jahr Cyberkriminelle legitime Anmeldedaten oder Brute-Force-Angriffe verwendeten, um sichInitialzugang zu den Umgebungen der Opfer zu verschaffen.

Wie stehlen Angreifer die Anmeldedaten?

1. Phishing: Dies beinhaltet das Austricksen von Benutzern, um ihre Anmeldedaten durch betrügerische E-Mails, Websites oder Nachrichten preiszugeben. Phishing-Angriffe nutzen oft Social Engineering, um die menschliche Psychologie und das Vertrauen auszunutzen.
2. Keylogging: Malware, die Tastenanschläge aufzeichnet, um Anmeldedaten bei der Eingabe zu erfassen. Keylogger können auf verschiedene Weise installiert werden, einschließlich bösartiger E-Mails und Downloads.
3. Man-in-the-Middle (MitM) Angriffe: Angreifer fangen die Kommunikation zwischen zwei Parteien ab und verändern sie, um Anmeldedaten zu stehlen. Dies kann über ungesicherte Netzwerke oder durch kompromittierte Geräte geschehen.
4. Initial Access Brokers: Initial Access Brokers beschaffen gestohlene Anmeldedaten durch Mittel wie die oben genannten drei Methoden und verkaufen sie dann im Dark Web und in Untergrundforen oder über private Kanäle an den Höchstbietenden.

Wie ein Credential-basierter Angriff funktioniert

Um zu verstehen, wie Credential-basierte Angriffe verhindert werden können, ist es wichtig zu wissen, wie sie typischerweise ablaufen. Die genauen Techniken und Werkzeuge, die verwendet werden, können variieren, aber es gibt einen typischen Prozess, den wir bei den meisten Angriffen erwarten würden, die auf Anmeldedaten beruhen. Hier ist eine schrittweise Aufschlüsselung eines gängigen Angriffsszenarios:

1. Aufklärung: Der Angreifer sammelt Informationen über die Zielorganisation, wie z. B. Mitarbeiternamen, E-Mail-Adressen und häufig verwendete Dienste. Dies kann durch Social Engineering, öffentliche Daten oder frühere Sicherheitsverletzungen geschehen.
2. Credential Harvesting: Der Angreifer verwendet verschiedene Methoden, um Anmeldedaten zu erhalten. Dies könnte das Stehlen von Passwörtern über Malware oder Phishing beinhalten. Oder sie können sich entscheiden, einen Brute-Force-Angriff zu versuchen oder bekannte Listen mit kompromittierten Passwörtern zu verwenden und Credential Stuffing zu versuchen.
3. Zugriffsversuch: Mit den gewählten Anmeldedaten versucht der Angreifer, sich in die Systeme oder Anwendungen des Ziels einzuloggen. Sie werden wahrscheinlich automatisierte Werkzeuge verwenden, um diesen Prozess zu beschleunigen.
4. Privilegienerweiterung: Einmal im Inneren sucht der Angreifer nach Möglichkeiten, seine Privilegien zu erweitern. Dies könnte die Ausnutzung von Schwachstellen, die Verwendung zusätzlicher gestohlener Anmeldedaten oder Social Engineering beinhalten.
5. Laterale Bewegung: Der Angreifer kann sich lateral innerhalb des Netzwerks bewegen, um Zugriff auf andere Systeme und Ressourcen zu erhalten, wodurch der Umfang der Sicherheitsverletzung erhöht wird. Einer der Vorteile gestohlener Anmeldedaten ist, dass der Angreifer als legitimer Endbenutzer erscheinen kann.
6. Datenexfiltration/Malware-Bereitstellung: Mit erweiterten Privilegien kann der Angreifer auf sensible Daten zugreifen und diese exfiltrieren, wie z. B. Finanzunterlagen, persönliche Informationen oder geistiges Eigentum. Sie können sich entscheiden, in dieser Phase Spyware oder Ransomware einzusetzen.
7. Spuren verwischen: Um eine Entdeckung zu vermeiden, kann der Angreifer Protokolle löschen, Hintertüren installieren oder andere Techniken verwenden, um seine Spuren zu verwischen. Einige Angreifer verharren lange Zeit unentdeckt im System einer Organisation.

Gibt es kompromittierte Passwörter in Ihrem Netzwerk?

Sie können herausfinden, wie viele Ihrer Endbenutzer kompromittierte Passwörter verwenden, mit einem schnellen Scan Ihres Active Directory mit unserem kostenlosen Auditing-Tool: Specops Password Auditor. Das Tool ist schreibgeschützt und speichert keine Active Directory-Daten und nimmt auch keine Änderungen an Active Directory vor. Sie erhalten einen leicht verständlichen, exportierbaren Bericht, der detailliert passwortbezogene Schwachstellen aufzeigt, die als Einstiegspunkte für Angreifer genutzt werden könnten. Hier kostenlos herunterladen.

Warum bevorzugen Hacker Credential-basierte Angriffe?

Konto-Kompromittierungen machten fast ein Drittel der globalen Cyberangriffe im letzten Jahr aus und waren damit der häufigsteInitialzugangsvektor für Bedrohungsakteure, so der Threat Intelligence Index Report von IBM X-Force. Hacker bevorzugen Credential-basierte Angriffe aus mehreren überzeugenden Gründen, was sie zu einer weit verbreiteten und hartnäckigen Bedrohung in der Cybersicherheitslandschaft macht.

„Was man wirklich sieht, ist ein Aha-Moment seitens der Bedrohungsakteure beim Übergang zu etwas, das funktioniert“, sagte Charles Henderson, Global Managing Partner und Leiter von IBM X-Force. „Dies zeigt, dass die Kriminellen herausgefunden haben, dass gültige Anmeldedaten der Weg des geringsten Widerstands und der einfachste Weg hinein sind.“

Hier ist ein genauerer Blick darauf, warum diese Angriffe für böswillige Akteure so attraktiv sind:

1. Einfache Ausführung

Credential-basierte Angriffe sind relativ einfach durchzuführen, insbesondere im Vergleich zu komplexeren Methoden wie Zero-Day-Exploits oder fortschrittlicher Malware. Werkzeuge und Techniken für diese Angriffe sind weit verbreitet und können leicht automatisiert werden, wodurch der Zeit- und Arbeitsaufwand des Angreifers reduziert wird.

2. Hohe Erfolgsquote

Die Erfolgsquote von Credential-basierten Angriffen ist hoch, was auf gängige menschliche Verhaltensweisen und Organisationspraktiken zurückzuführen ist. Viele Benutzer verwenden Passwörter über mehrere Konten hinweg wieder, und einige Organisationen haben schwache Passwortrichtlinien. Dies erleichtert es Angreifern, mit einem einzigen Satz von Anmeldedaten Zugriff auf mehrere Systeme zu erhalten.

3. Geringes Entdeckungsrisiko

Viele traditionelle Sicherheitsmaßnahmen, wie z. B. Firewalls und Antivirensoftware, sind darauf ausgelegt, bösartigen Datenverkehr oder Dateien zu erkennen und zu blockieren. Credential-basierte Angriffe ahmen oft legitimes Benutzerverhalten nach, was sie schwerer zu erkennen macht. Wenn ein Angreifer gültige Anmeldedaten verwendet, kann er sich in den normalen Datenverkehr einfügen und vermeiden, Sicherheitswarnungen auszulösen. Dies ermöglicht es ihnen, heimlich und über längere Zeiträume zu agieren.

4. Kosteneffektiv

Für Hacker sind Credential-basierte Angriffe kosteneffektiv. Sie erfordern minimale Ressourcen und können mit kostenlosen oder kostengünstigen Werkzeugen ausgeführt werden. Einmal in einem System, können Angreifer auf eine Fülle von wertvollen Daten zugreifen, einschließlich Finanzunterlagen, persönlichen Informationen und geistigem Eigentum. Die potenziellen Belohnungen, wie z. B. der Zugriff auf sensible Daten oder finanzielle Gewinne, überwiegen oft die Kosten.

5. Große Bandbreite an Zielen

Credential-basierte Angriffe können auf eine breite Palette von Systemen und Diensten abzielen, von Webanwendungen und E-Mail-Konten bis hin zu internen Netzwerken und Cloud-Diensten. Diese Vielseitigkeit macht sie zu einem vielseitigen Werkzeug im Arsenal eines Hackers, das es ihnen ermöglicht, mehrere Einstiegspunkte auszunutzen.

Drei bekannte Credential-Angriffe

1. LinkedIn (2012): Ein Angreifer stahl Millionen von Benutzeranmeldedaten, einschließlich E-Mail-Adressen und gehashter Passwörter, und veröffentlichte sie später im Dark Web. Diese Sicherheitsverletzung unterstrich die Bedeutung starker Passwortrichtlinien und MFA.
2. Uber (2016): Hacker verschafften sich Zugriff auf die persönlichen Daten von 57 Millionen Uber-Nutzern und -Fahrern, indem sie gestohlene Anmeldedaten aus einem GitHub-Repository verwendeten. Uber zahlte ein Lösegeld, um die Sicherheitsverletzung geheim zu halten, was später zu rechtlichen und rufschädigenden Problemen führte.
3. Capital One (2019): Ein ehemaliger Amazon-Mitarbeiter verwendete eine falsch konfigurierte Firewall, um auf die Server von Capital One zuzugreifen und die persönlichen Daten von über 100 Millionen Kunden zu stehlen. Der Angreifer hatte Zugriff auf Anmeldedaten, die unsachgemäß gespeichert waren, was zu einer der größten Datenschutzverletzungen in der Geschichte führte.

Wie man Passwortangriffe verhindert

Die Verhinderung von Credential-basierten Angriffen erfordert einen mehrschichtigen Ansatz, der technische Lösungen, Richtlinien und Benutzerschulung kombiniert. Hier sind einige wichtige Strategien:

1. Multi-Faktor-Authentifizierung (MFA): MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem es von Benutzern verlangt, zwei oder mehr Verifizierungsfaktoren anzugeben, um Zugriff zu erhalten. Dies reduziert das Risiko eines unbefugten Zugriffs erheblich, selbst wenn Passwörter kompromittiert wurden. MFA ist für alle Arten von Zugriffen und Konten verfügbar, auch für Ihren Windows-Login. MFA sollte nicht verhandelbar sein und ist wohl die wichtigste Maßnahme auf dieser Liste.
   MFA macht es Angreifern viel schwerer, sich unbefugten Zugriff zu verschaffen, selbst wenn sie gestohlene Anmeldedaten haben. MFA ist jedoch kein narrensicherer Weg, um sich vor Credential-basierten Angriffen zu schützen. Angreifer können MFA immer noch umgehen, indem sie Methoden wie Phishing, Social Engineering anwenden oder Schwachstellen in der MFA-Implementierung ausnutzen.
2. Starke Passwortrichtlinien: Erzwingen Sie die Verwendung von starken, eindeutigen Passphrasen. Dies reduziert die Wahrscheinlichkeit, dass Benutzerkonten durch Brute-Force-Techniken kompromittiert werden, erheblich.
3. Benutzerschulung: Schulen Sie Mitarbeiter, Phishing-Versuche zu erkennen und zu vermeiden und sichere Praktiken im Umgang mit Anmeldedaten anzuwenden. Regelmäßige Schulungen zum Sicherheitsbewusstsein können dazu beitragen, das Risiko zu verringern, dass Anmeldedaten aufgrund menschlichen Versagens in die falschen Hände geraten.
4. Regelmäßige Audits und Überwachung: Führen Sie regelmäßige Audits von Benutzerkonten durch und überwachen Sie ungewöhnliche Anmeldeaktivitäten. Implementieren Sie Intrusion Detection Systems (IDS) und Security Information and Event Management (SIEM) Tools, um potenzielle Bedrohungen zu erkennen und darauf zu reagieren.
5. Sichere Netzwerkarchitektur: Verwenden Sie sichere Netzwerkprotokolle und verschlüsseln Sie Daten während der Übertragung, um Man-in-the-Middle-Angriffe zu verhindern. Segmentieren Sie Ihr Netzwerk, um die Auswirkungen einer Sicherheitsverletzung zu begrenzen.
6. Incident Response Plan: Entwickeln und pflegen Sie einen Incident Response Plan, um die Auswirkungen eines Credential-basierten Angriffs schnell zu beheben und zu minimieren. Testen und aktualisieren Sie den Plan regelmäßig, um sicherzustellen, dass er wirksam bleibt.
7. Auf kompromittierte Anmeldedaten prüfen: Selbst starke Passwörter können gestohlen werden. Specops Password Policy scannt Ihr Active Directory kontinuierlich mit einer Datenbank von über vier Milliarden eindeutigen kompromittierten Passwörtern. Endbenutzer mit kompromittierten Passwörtern werden benachrichtigt und gezwungen, zu einem neuen, sicheren Passwort zu wechseln. Gefährden Sie Ihre Organisation nicht durch Credential-basierte Angriffe. Nehmen Sie Kontakt auf und wir richten Ihnen eine kostenlose Testversion ein.