Improve SIEM and SOAR Workflows with Better Security Signal
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per il Network Detection and Response (NDR) del 2025
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Tecnica di attacco

Kerberoasting

Il protocollo Kerberos riduce il rischio di utilizzare password già utilizzate in precedenza o non sicure, ma può esporvi agli Kerberoasting . Ecco cosa dovete sapere su questa tecnica di attacco molto diffusa.

Definizione
Come funziona
Perché gli hacker lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è Kerberoasting?

Kerberoasting una tecnica di attacco che prende di mira Kerberos, un protocollo di autenticazione che utilizza la crittografia a chiave simmetrica e un centro di distribuzione delle chiavi (KDC) per verificare l'identità degli utenti.

Kerberoasting hanno inizio quando un utente autenticato del dominio richiede un ticket di servizio per un nome di entità di servizio (SPN), che funge da identificatore univoco.

L'autore dell'attacco estrae il ticket di servizio, che è crittografato con l'hash della password dell'account di servizio associato. Successivamente, tenta di decifrare la password in chiaro.

Come funziona

Come Kerberoasting ?

Kerberoasting sfruttano il token di autenticazione TGT (Ticket-Granting Ticket) emesso dal KDC, utilizzato per richiedere i token di accesso al servizio TGS (Ticket-Granting Service) di Kerberos. In parole povere: il protocollo Kerberos consente di autenticare gli account utente di dominio senza che gli utenti debbano reinserire o memorizzare continuamente le password — e gli aggressori dispongono di strumenti specifici per sfruttarne le vulnerabilità. Lo fanno:

  1. Enumerazione degli account di servizio: l'autore dell'attacco, che ha già ottenuto un punto d'appoggio nella rete, procede all'enumerazione degli account di servizio. Si tratta in genere di account con SPN registrati in Active Directory.
  2. Richiesta di ticket: l'autore dell'attacco richiede un ticket di servizio (TGS) per gli account di servizio identificati.
  3. Emissione del ticket: il controller di dominio emette un ticket TGS (Ticket Granting Service) crittografato con l'hash della password dell'account di servizio.
  4. Estrazione dei ticket crittografati: il protocollo Kerberos restituisce un ticket crittografato, che include dati crittografati con l'hash NTLM dell'account di servizio.
  5. Cracking offline: l'autore dell'attacco utilizza strumenti come John the Ripper o Hashcat per decifrare l'hash della password e rivelare le password in chiaro.

Kerberoasting
Perché gli hacker lo utilizzano

Perché gli hacker ricorrono Kerberoasting

Gli hacker utilizzano Kerberoasting come tecnica per ottenere le password con hash degli account di servizio all'interno di un ambiente Microsoft Active Directory. Sfruttando il funzionamento dell'autenticazione Kerberos, gli aggressori possono estrarre questi hash delle password e tentare di decifrarli offline. La decifrazione di questi hash può garantire agli aggressori privilegi elevati, consentendo loro di muoversi lateralmente all'interno della rete, accedere a dati sensibili o compromettere ulteriormente il sistema.

Ecco i motivi per cui gli hacker ricorrono Kerberoasting:

Escalation dei privilegi

  • Accesso ad account con privilegi elevati: gli account di servizio dispongono spesso di autorizzazioni elevate. Ottenerne le credenziali consente agli aggressori di eseguire operazioni che richiedono privilegi più elevati.
  • Movimento laterale: grazie all'accesso agli account di servizio, gli aggressori possono spostarsi tra i diversi sistemi all'interno della rete, ampliando il proprio raggio d'azione.

Sfruttamento occulto

  • Basso rischio di rilevamento: Kerberoasting essere eseguita da qualsiasi utente autenticato del dominio senza attivare allarmi di sicurezza immediati, poiché la richiesta di ticket di servizio è un comportamento standard.
  • Cracking delle password offline: poiché il cracking delle password avviene offline, si evita di essere individuati dagli strumenti di monitoraggio della rete.

Sfruttamento di pratiche di sicurezza inadeguate

  • Password deboli o invariate: le password degli account di servizio sono spesso deboli o non vengono modificate regolarmente, rendendole vulnerabili alla violazione.
  • Configurazioni errate: account e autorizzazioni configurati in modo errato possono facilitare Kerberoasting di tipo " Kerberoasting .

Non sono necessari privilegi speciali

  • Accessibile agli utenti regolari: qualsiasi utente con accesso al dominio può richiedere ticket di assistenza, il che lo rende un vettore di attacco ampiamente accessibile.
  • Come aggirare le restrizioni di rete: gli hacker non hanno bisogno di accedere direttamente al controller di dominio o ai server sensibili per eseguire Kerberoasting.
Rilevamenti della piattaforma

Come individuare Kerberoasting "

Per proteggere la vostra organizzazione dagli Kerberoasting , è fondamentale individuare tempestivamente eventuali minacce. Oltre a monitorare i modelli di traffico Kerberos insoliti e le richieste di ticket, utilizzate sistemi di rilevamento basati sul comportamento per individuare anomalie nelle richieste effettive. 

Vectra AI due tipi di Kerberoasting : 

  • Il rilevamento SPN Sweep si concentra sull'identificazione dei tentativi di enumerazione dei nomi principali di servizio (SPN) all'interno dell'ambiente Active Directory. Questo ti consente di individuare i casi in cui gli aggressori potrebbero raccogliere informazioni sugli account di servizio da prendere di mira.
  • Il rilevamento del "Cipher Downgrade" individua i tentativi di richiedere ticket Kerberos utilizzando tipi di crittografia meno sicuri, come la crittografia RC4. Questo ti permette di capire quando gli aggressori potrebbero manomettere il sistema per generare ticket più facili da decifrare.

‍Il rilevamento "Account Scan " individua i tentativi di interrogare il servizio di autenticazione Kerberos alla ricerca di account utente validi — un precursore comune del Kerberoasting.

Rilevamento
Kerberoasting: scansione SPN
Per saperne di più
Rilevamento
Kerberoasting: richiesta di crittografia debole
Per saperne di più
Rilevamento
Kerberoasting: risposta mirata alle crittografie vulnerabili
Per saperne di più
Rilevamento
Attacco Brute-Force a Kerberos
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con sistemi di rilevamento avanzati

Kerberoasting una delle decine di funzionalità di rilevamento avanzate basate sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti MITRE ATT&CK .

Esplora la piattaforma
Per saperne di più

Domande frequenti