Kerberos-Ticket-Abuse: Mapping auf die Session Layer für IR

Kerberos-Ticket-Abuse ist in vielen Windows-Enterprise-Umgebungen einer der häufigsten Wege, wie Angreifer sich seitwärts bewegen, Privilegien ausweiten oder persistente Zugriffe sichern – ohne ständig Passwörter zu tippen. Genau deshalb ist Kerberos für Incident Response (IR) so wichtig: Tickets sind faktisch „Sitzungsartefakte“. Wer ein Ticket kontrolliert, kann oft wie ein legitimer Nutzer oder Dienst auftreten, selbst wenn das Passwort nie bekannt war. Das macht Kerberos-Ticket-Abuse zu einem typischen Layer-5-Thema: Die Session-Schicht ist die Ebene, auf der Identität und Kontinuität über mehrere Verbindungen und Services hinweg aufrechterhalten werden. Für eine schnelle und belastbare Triage müssen Sie deshalb Kerberos nicht nur als „Auth-Protokoll“ betrachten, sondern als Session-Mechanismus, dessen Artefakte (TGT, Service Tickets) eine Beweiskette bilden. Dieser Artikel erklärt, wie Kerberos-Tickets auf die Session Layer gemappt werden, welche Abuse-Muster in der Praxis relevant sind und wie Sie Evidence von Domain Controller Logs über Endpunkt-Telemetrie bis zu Service-Logs so verbinden, dass sie in Incident Response handlungsfähig wird.

Warum Kerberos in der Praxis „Session Layer“ ist

Im OSI-Modell steht Layer 5 für Sitzungssteuerung: Aufbau, Fortführung und Beendigung einer Sitzung. Kerberos erfüllt genau diese Funktion für Identität in vielen Unternehmensnetzen. Statt bei jedem Zugriff Benutzername/Passwort zu prüfen, nutzt Kerberos Tickets als zeitlich begrenzte Nachweise, dass ein Principal authentisiert wurde und bestimmte Services nutzen darf. In der IR-Perspektive sind Tickets daher vergleichbar mit Session-Cookies oder OAuth-Tokens: Sie sind die „Berechtigung zum Handeln“ über einen Zeitraum.

• TGT (Ticket Granting Ticket): Entspricht einer „Primärsession“ – der Nachweis gegenüber dem KDC, dass der Nutzer authentisiert ist.
• TGS/Service Ticket: Entspricht einer „Service-Session“ – der Nachweis gegenüber einem конкретen Service (SPN), dass Zugriff erlaubt ist.
• Ticket Lifetime & Renew: Entspricht Session-TTL und Session-Verlängerung – wichtig für Persistenz und Replay-Abuse.

Kerberos ist spezifiziert in RFC 4120. Für Incident Response lohnt es sich, diese Begriffe als Session-Objekte zu behandeln, weil Sie so schneller entscheiden können: „Welche Sitzung ist kompromittiert?“, „Wie breit ist der Blast Radius?“ und „Wie beende ich die Sitzung sicher?“

Kerberos-Ticket-Lebenszyklus: Die Basis für Triage

Um Abuse zu erkennen, müssen Sie den Normalzustand kennen. Ein typischer Kerberos-Ablauf sieht vereinfacht so aus: Client fordert TGT (AS-REQ/AS-REP), nutzt TGT, um Service Ticket zu erhalten (TGS-REQ/TGS-REP), präsentiert Service Ticket beim Zielservice (AP-REQ). In Windows abstrahiert das Betriebssystem diesen Ablauf, aber die Spuren sind in Logs und Telemetrie sichtbar.

• Erstauthentisierung: TGT wird ausgestellt, meist beim Login oder beim ersten Zugriff.
• Service-Nutzung: Für jedes Ziel (Dateiserver, SQL, HTTP, LDAP) kann ein eigenes Service Ticket ausgestellt werden.
• Zwischenspeicherung: Tickets liegen im Speicher des Clients (Ticket Cache) und werden wiederverwendet.
• Erneuerung/Verlängerung: Tickets können erneuert werden, je nach Policy.

Was „Ticket-Abuse“ umfasst: Die wichtigsten Kategorien

Kerberos-Ticket-Abuse ist kein einzelner Trick, sondern eine Familie von Techniken, die Sessions missbrauchen. Für IR ist es hilfreich, in drei Kategorien zu denken: (1) Ticket-Erbeutung, (2) Ticket-Fälschung/Manipulation, (3) Ticket-Missbrauch zur lateralen Bewegung.

Ticket-Erbeutung: Sessions aus dem Speicher stehlen

Angreifer, die Zugriff auf einen Endpunkt haben, versuchen häufig, Tickets aus dem Speicher oder Cache zu extrahieren. Dadurch können sie auf andere Systeme zugreifen, ohne das Passwort zu kennen. In der Session-Layer-Logik ist das klassisches Hijacking: Session-Artefakt wird kopiert.

• Indikatoren: Auffällige Zugriffe ohne passende interaktive Logins, ungewöhnliche Ticket-Anfragen kurz nach Prozess-Injection oder Credential-Dumping-Events.
• IR-Relevanz: Endpunkt-Telemetrie (EDR) wird zum Primärbeweis, DC-Logs zum Korrelationsbeweis.

Ticket-Fälschung und -Manipulation: Wenn „Session“ konstruiert wird

In fortgeschrittenen Angriffen werden Tickets gefälscht oder manipuliert, um Privilegien zu erweitern oder lange gültige Zugriffe zu schaffen. In der IR-Perspektive ist das besonders kritisch: Das „Session-Objekt“ kann scheinbar valide sein, obwohl es nicht aus einem normalen Auth-Flow stammt.

• Golden Ticket: Manipuliertes TGT auf Basis des KRBTGT-Schlüssels – extrem hoher Impact.
• Silver Ticket: Manipuliertes Service Ticket für einen spezifischen Service (SPN) – oft leiser, aber gefährlich.
• Overpass-the-Hash / Pass-the-Key: Nutzung von Schlüsselmateral, um Tickets zu erhalten, ohne Passwort im Klartext.

Diese Begriffe sind in vielen Threat-Intel- und Blue-Team-Guides beschrieben; als gute Orientierung für Abwehr- und Detektionssicht eignet sich die MITRE ATT&CK Knowledge Base (Kerberos-bezogene Techniken finden sich dort unter Credential Access und Lateral Movement).

Ticket-Missbrauch zur lateralen Bewegung: Die Session wird „transportiert“

Viele Incidents sehen in Logs wie normale Admin-Arbeit aus: Datei- oder Servicezugriffe mit Kerberos. Der Missbrauch liegt in der Quelle (falscher Client), im Ziel (ungewöhnlicher Service) oder in der zeitlichen Sequenz (plötzliche Service-Kaskaden). Ticket-Abuse ist hier weniger „Krypto“, sondern „Berechtigungskontinuität“: Die Session wird genutzt, um sich durch die Umgebung zu bewegen.

Mapping auf OSI Layer: Evidence-Struktur von L2 bis L7

Kerberos selbst ist kein L2/L3-Phänomen, aber eine IR-Untersuchung wird deutlich schneller, wenn Sie die Session-Evidence mit Netzwerk- und System-Evidence verbinden. Praktisch bedeutet das: Sie korrelieren (a) welches Gerät/Segment, (b) welche Verbindungen, (c) welche Identity-Session, (d) welche Anwendungshandlungen.

• L2: Port/VLAN/802.1X – welches physische oder virtuelle Gerät war wo aktiv?
• L3: IP-Attribution, DHCP/ARP – welche IP gehörte zu welchem Host zu diesem Zeitpunkt?
• L4: Flows – welche Verbindungen zu DCs, Fileservern, LDAP, WinRM, SMB wurden aufgebaut?
• L5: Kerberos Tickets – welche Sessions (TGT/TGS) wurden ausgestellt und genutzt?
• L6: Encoding/Serialization – Ticket- und Logfelder normalisieren, Zeitstempel, Event-Korrelation.
• L7: Service-Operationen – Dateioperationen, LDAP-Queries, Admin-Aktionen, Scheduled Tasks, Service Creation.

Layer 5 in IR: Welche Fragen Sie in 10 Minuten beantworten müssen

Wenn ein Alarm auf Kerberos-Ticket-Abuse hindeutet, sollte die schnelle Triage die Session-Layer-Fragen priorisieren. Diese Fragen helfen, Scope und Dringlichkeit zu bestimmen, ohne sofort tief in jedes Subsystem zu steigen.

• Welche Principals sind betroffen? (User, Computer Accounts, Service Accounts)
• Welche Tickets wurden ausgestellt? (TGT, welche Service Tickets, welche SPNs)
• Von welchen Hosts kamen die Anfragen? (Client-IP/Hostname, ungewöhnliche Workstations)
• Welche Zielservices wurden angesprochen? (SMB, LDAP, HTTP, MSSQL, CIFS, HOST)
• Ist es ein einmaliger Missbrauch oder persistent? (Wiederholung, Ticket-Renewal, lange Gültigkeit)

Kerberos-spezifische Telemetrie: Was Sie unbedingt brauchen

Ohne die richtigen Datenquellen wird Kerberos-Abuse schnell zur Spekulation. Ein Minimum an Telemetrie umfasst Domain Controller Security Logs, korrelierte Auth/Logon-Events sowie Endpunkt- und Service-Logs. Microsoft beschreibt Kerberos- und Account-Logon-Events in der Dokumentation zu Security Auditing; eine gute Einstiegssammlung bietet die Microsoft Learn Dokumentation (suchen Sie dort nach Kerberos Authentication Events und Account Logon Events).

Domain Controller: Kerberos-Events als Session-Beweis

Auf Domain Controllern sind Kerberos-relevante Events meist die tragende Säule. Für IR zählt dabei weniger „ein Event“, sondern die Sequenz: Ticket-Ausstellung, Ticket-Nutzung und ggf. Fehlermuster.

• TGT-Ausstellung: Hinweise darauf, wann und für wen eine Primärsession gestartet wurde.
• TGS/Service Ticket Requests: Welche Services wurden angefragt (SPN), von welchem Client.
• Fehlercodes: Wiederholte Fehlversuche können auf bruteforce-nahe Muster, Time Skew oder Misskonfiguration hindeuten.
• Ungewöhnliche SPNs: Plötzliche Requests für kritische Dienste (z. B. CIFS auf DCs) sind oft ein Signal.

Endpunkte: Ticket Cache und Prozess-Evidence

Der DC zeigt Ihnen, dass Tickets ausgestellt wurden. Der Endpunkt zeigt Ihnen, ob ein Ticket gestohlen, injiziert oder von einem ungewöhnlichen Prozess genutzt wurde. Für Incident Response ist das häufig der entscheidende Unterschied zwischen „legitimer Admin“ und „kompromittierte Session“.

• Prozess-Telemetrie: Ungewöhnliche Prozesse, die Auth-Subsysteme ansprechen oder Speicherzugriffe durchführen.
• Credential Guard/LSASS-Schutz: Hinweise, ob Schutzmechanismen aktiv waren oder umgangen wurden.
• Login-Kontext: Passt die Session-Nutzung zu interaktiven Logins des Nutzers?

Service-Ebene: Was wurde mit dem Ticket getan?

Kerberos beweist Identität für Services, aber die eigentliche Auswirkung entsteht auf L7: Dateien wurden gelesen, LDAP wurde enumeriert, Admin-Aktionen wurden durchgeführt. Darum brauchen Sie Service-Logs als „Impact Evidence“.

• SMB/Fileserver: Dateioperationen, Zugriffe auf Admin Shares, ungewöhnliche Pfade.
• LDAP/AD DS: Verdächtige Abfragen (z. B. Massenabfragen), Änderungen an Gruppenmitgliedschaften.
• HTTP/Reverse Proxy: Kerberos/Negotiate Nutzung für Web-SSO, ungewöhnliche Endpunkte.
• Remote Management: WinRM/WMI/Service Control Manager Aktivitäten, wenn vorhanden.

Attack Patterns auf Session Layer: Was Sie wie interpretieren

Die folgenden Muster sind in IR hilfreich, weil sie die Kerberos-Session als Objekt betrachten: Wer startet die Session, wer nutzt sie, wie breit ist die Serviceausbreitung, wie lange bleibt sie aktiv?

Muster: „Service Ticket Storm“ von einer Workstation

Ein kompromittierter Client fordert in kurzer Zeit viele Service Tickets für zahlreiche Systeme an. Das kann legitime Admin-Automation sein – oder schnelle laterale Bewegung.

• Evidence: DC zeigt viele TGS-Requests von einem Client; NetFlow zeigt neue SMB/LDAP-Verbindungen; Service-Logs zeigen Zugriffsmuster.
• Abgleich: Ist das ein Jump Host? Gehört die Workstation zu einem Admin? Passt die Zeit zu Wartungsfenstern?
• Reaktion: Client isolieren, Account-Sessions invalidieren (Passwortreset/Key-Rotation), verdächtige Ziele priorisieren.

Muster: Unplausible Ticket-Nutzung ohne interaktive Logins

Kerberos-Aktivität ist sichtbar, aber es gibt keine passenden interaktiven Logins oder der Nutzer war laut HR/Device-Status gar nicht aktiv.

• Evidence: DC-Kerberos-Events ohne korrespondierende Logon-Events am Client; EDR zeigt verdächtige Prozesse.
• Interpretation: Ticket-Abuse oder Nutzung eines Dienstkontos außerhalb seiner normalen Laufzeit.
• Reaktion: Zugriff temporär blockieren, Session-Rotation erzwingen, Service Accounts prüfen.

Muster: Persistenz über langlebige oder erneuerte Sessions

Wenn Tickets wiederholt erneuert oder über lange Zeit genutzt werden, kann das auf Persistenz hindeuten. Das ist IR-relevant, weil „nur der aktuelle Alarm“ dann nicht das gesamte Problem abdeckt.

• Evidence: Wiederkehrende Ticket-Requests in regelmäßigen Abständen, passende Flows zu Schlüssel-Services.
• Interpretation: Automatisierter Missbrauch (Scheduled Task, persistenter Agent) oder legitime Service-Operation – prüfen.
• Reaktion: Suchmuster erweitern: gleiche SPNs, gleiche Clients, gleiche Zeiten, gleiche Accounts.

Containment und Eradication: Was die Session Layer besonders macht

Bei Kerberos müssen Sie in IR anders denken als bei „Passwort geleakt“. Sie müssen Sessions beenden, Schlüsselmaterial erneuern und sicherstellen, dass gestohlene Tickets nicht weiter nutzbar sind. Wichtig: Vermeiden Sie übereilte Maßnahmen, die Beweisketten zerstören. Gleichzeitig kann bei kritischen Indikatoren (z. B. Verdacht auf KRBTGT-Kompromittierung) schnelle Eskalation nötig sein.

• Session-Reset: Benutzer abmelden, Tokens/Tickets invalidieren, wo möglich.
• Account-Maßnahmen: Passwortreset, Deaktivierung, Gruppenmitgliedschaften prüfen.
• Service Accounts: Schlüsselrotation und Überprüfung von SPNs und Delegationseinstellungen.
• Segmentierung: Laterale Bewegung einschränken (SMB/WinRM/LDAP Pfade), bis Scope geklärt ist.
• Zeitbasis: NTP sicherstellen; Kerberos ist empfindlich gegenüber Zeitabweichungen, was Analyse und Betrieb beeinflusst.

Detektion und Monitoring: Session-basierte Regeln statt „ein Event“

Für stabile Detektion sollten Sie nicht nur einzelne Kerberos-Events alarmieren, sondern Session-Korrelationen bauen. Das reduziert False Positives und erhöht die Beweiskraft.

• Baseline pro Account-Typ: Admin-Accounts, Service Accounts, normale User – jeweils eigenes Normalprofil.
• SPN-Whitelists: Welche Services fordert ein Account typischerweise an? Abweichungen priorisieren.
• Client-Cluster: Von welchen Hosts nutzt ein Account Kerberos? Neue Hosts als Risiko-Trigger.
• Sequenzregeln: Ticket-Anfrage → neue SMB/LDAP-Verbindungen → sensitive Aktionen innerhalb kurzer Zeit.

Ein einfaches Scoring-Modell für Triage

$\mathrm{Score}=W\left(\mathrm{neuer}\mathrm{ Client}\right)+W\left(\mathrm{neuer}\mathrm{ SPN}\right)+W\left(\mathrm{Parallelität}\right)+W\left(\mathrm{HighRiskAction}\right)$

Mit Gewichten W priorisieren Sie Fälle, die sowohl ungewöhnliche Session-Parameter (neuer Client, neuer SPN) als auch echte Auswirkungen (High-Risk-Aktionen) zeigen. So bleibt die Detektion praxisnah.

Häufige Stolperfallen in der IR-Praxis

Kerberos-Incidents scheitern in der Praxis selten an „zu wenig Theorie“, sondern an fehlender Korrelation, zu grobem Scoping oder blinden Flecken in Telemetrie.

• NAT/Proxy verschleiert Clients: Ohne korrekte Client-IP-Weitergabe wird Attribution schwerer.
• Service Accounts sind „vergessen“: Langlebige Konten mit hoher Berechtigung und wenig Monitoring sind ein Risikomagnet.
• Delegation falsch verstanden: Unklare Delegationseinstellungen können legitimen Traffic wie Missbrauch aussehen lassen – oder umgekehrt.
• Zeitsynchronisation: Zeitdrift erzeugt Kerberos-Fehler und zerstört Korrelationen über Logs hinweg.
• Zu frühes Reset: Passwortreset/Account-Disable vor Evidence-Sicherung kann Forensik erschweren.

Outbound-Quellen für Grundlagen und Vertiefung

• RFC 4120: The Kerberos Network Authentication Service (V5) für Protokollgrundlagen, Ticket-Artefakte und Ablauf
• MITRE ATT&CK Knowledge Base für TTP-Einordnung und Mapping von Kerberos-bezogenen Techniken in Incident Response
• Microsoft Learn als Referenz für Windows Security Auditing, Kerberos-Events und Log-Interpretation im Enterprise-Kontext
• OWASP Session Management Cheat Sheet für Session-Layer-Denken, das sich gut auf Tickets/Token übertragen lässt

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.