Scoprite le lacune della vostra Microsoft Identity Security.
Prenotate oggi stesso un'analisi del gap di esposizione all'identità.
Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecnica di attacco

Kerberoasting

Il protocollo Kerberos riduce il rischio di password riutilizzate e non sicure, ma può esporvi ad attacchi Kerberoasting . Ecco cosa c'è da sapere su questa comune tecnica di attacco.

Definizione
Come funziona
Perché gli aggressori lo usano
Rilevamento
DOMANDE FREQUENTI
Definizione

Che cos'è Kerberoasting?

Kerberoasting è una tecnica di attacco che prende di mira Kerberos, un protocollo di autenticazione che utilizza la crittografia a chiave simmetrica e un centro di distribuzione delle chiavi (KDC) per verificare le identità degli utenti.

Kerberoasting Gli attacchi iniziano quando un utente autenticato del dominio richiede un ticket di servizio per un nome principale di servizio (SPN), che serve come identificatore univoco.

L'attaccante estrae il ticket di servizio, che è crittografato con l'hash della password dell'account di servizio affiliato. Quindi tenta di decifrare la password in chiaro.

Come funziona

Come funziona Kerberoasting ?

Kerberoasting Gli attacchi funzionano sfruttando il token di autenticazione ticket-granting ticket (TGT) emesso dal KDC, che viene utilizzato per richiedere i token di accesso al servizio ticket-granting Kerberos (TGS). In parole povere: Il protocollo Kerberos consente di autenticare gli account utente del dominio senza dover chiedere alle persone di reinserire o memorizzare continuamente le password, e gli aggressori dispongono di strumenti specializzati per sfruttarlo. Lo fanno attraverso:

  1. Enumerazione degli account di servizio: L'attaccante, già in possesso di un punto d'appoggio nella rete, enumera gli account di servizio. In genere si tratta di account con SPN registrati in Active Directory.
  2. Richiesta di ticket: L'attaccante richiede un ticket di servizio (TGS) per gli account di servizio identificati.
  3. Ticket Granting: il controller di dominio emette un ticket TGS (Ticket Granting Service) crittografato con l'hash della password dell'account di servizio.
  4. Estrazione di ticket criptati: Il protocollo Kerberos restituisce un ticket criptato, che include dati criptati con l'hash NTLM dell'account di servizio.
  5. Cracking offline: L'aggressore utilizza strumenti come John the Ripper o Hashcat per crackare l'hash della password e rivelare le password in chiaro.

Il processo Kerberoasting
Perché gli aggressori lo usano

Perché gli aggressori usano Kerberoasting

Gli aggressori utilizzano Kerberoasting come tecnica per ottenere le password con hash degli account di servizio in un ambiente Microsoft Active Directory. Sfruttando il funzionamento dell'autenticazione Kerberos, gli aggressori possono estrarre questi hash di password e tentare di decifrarli offline. Il cracking di questi hash può garantire agli aggressori privilegi elevati, consentendo loro di muoversi lateralmente all'interno della rete, accedere a dati sensibili o compromettere ulteriormente il sistema.

Ecco i motivi per cui gli aggressori utilizzano Kerberoasting:

Escalation dei privilegi

  • Accesso ad account con privilegi elevati: Gli account di servizio hanno spesso autorizzazioni elevate. Ottenere le loro credenziali consente agli aggressori di eseguire azioni che richiedono privilegi più elevati.
  • Movimento laterale: Con l'accesso agli account di servizio, gli aggressori possono spostarsi tra i diversi sistemi della rete, ampliando la loro portata.

Sfruttamento furtivo

  • Rischio di rilevamento ridotto: Kerberoasting può essere eseguito da qualsiasi utente autenticato del dominio senza attivare avvisi di sicurezza immediati perché la richiesta di ticket di servizio è un comportamento standard.
  • Cracking di password offline: Poiché il cracking delle password avviene offline, evita il rilevamento da parte degli strumenti di monitoraggio della rete.

Sfruttamento di pratiche di sicurezza deboli

  • Password deboli o non modificate: Le password degli account di servizio sono spesso deboli o non vengono cambiate regolarmente, il che le rende suscettibili di essere violate.
  • Configurazioni errate: Account e autorizzazioni non correttamente configurati possono facilitare l'esecuzione di attacchi Kerberoasting .

Non sono necessari privilegi speciali

  • Accessibile agli utenti abituali: Qualsiasi utente con accesso al dominio può richiedere ticket di servizio, il che lo rende un vettore di attacco ampiamente accessibile.
  • Bypassare le restrizioni di rete: Gli aggressori non hanno bisogno di accedere direttamente al controller di dominio o ai server sensibili per eseguire Kerberoasting.
Rilevamenti della piattaforma

Come rilevare gli attacchi di Kerberoasting

Per proteggere l'organizzazione dagli attacchi di Kerberoasting , è fondamentale il rilevamento precoce. Oltre a monitorare i modelli di traffico Kerberos e le richieste di ticket insoliti, utilizzate i rilevamenti basati sul comportamento per identificare le anomalie nelle richieste effettive. 

Vectra AI fornisce due tipi di rilevamento Kerberoasting : 

  • Il rilevamento SPN Sweep si concentra sull'identificazione dei tentativi di enumerazione dei Service Principal Names (SPN) nell'ambiente Active Directory. Ciò indica quando gli aggressori potrebbero raccogliere informazioni sugli account di servizio da prendere di mira.
  • Il rilevamento del declassamento del crittogramma rileva i tentativi di richiedere ticket Kerberos utilizzando tipi di crittografia più deboli, come la crittografia RC4. Ciò indica quando gli aggressori stanno probabilmente manipolando il sistema per generare ticket più facili da decifrare.

Il rilevamento dellascansione dell'account identifica i tentativi di interrogare il servizio di autenticazione Kerberos per trovare account utente validi, un precursore comune di Kerberoasting.

Rilevamento
Kerberoasting: SPN Sweep
Per saperne di più
Rilevamento
Kerberoasting: Richiesta di cifratura debole
Per saperne di più
Rilevamento
Kerberoasting: Risposta mirata al codice debole
Per saperne di più
Rilevamento
Kerberos Brute-Sweep
Per saperne di più
Esplora tutti i rilevamenti

Proteggete la vostra rete con rilevamenti avanzati

Kerberoasting è una delle decine di rilevamenti avanzati guidati dall'intelligenza artificiale disponibili nella piattaforma Vectra AI , che copre il 90% delle tecniche rilevanti di MITRE ATT&CK .

Esplora la piattaforma
Per saperne di più

DOMANDE FREQUENTI