Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecnica di attacco

Kerberoasting

Il protocollo Kerberos riduce il rischio di riutilizzo e insicurezza delle password, ma può esporvi ad Kerberoasting . Ecco cosa dovete sapere su questa tecnica di attacco molto diffusa.

Definizione
Come funziona
Perché gli aggressori lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è Kerberoasting?

Kerberoasting una tecnica di attacco che prende di mira Kerberos, un protocollo di autenticazione che utilizza la crittografia a chiave simmetrica e un centro di distribuzione delle chiavi (KDC) per verificare l'identità degli utenti.

Kerberoasting hanno inizio quando un utente autenticato del dominio richiede un ticket di servizio per un nome principale di servizio (SPN), che funge da identificatore univoco.

L'autore dell'attacco estrae il ticket di servizio, che è crittografato con l'hash della password dell'account di servizio affiliato. Quindi tenta di decifrare la password in chiaro.

Come funziona

Come Kerberoasting ?

Kerberoasting funzionano sfruttando il token di autenticazione TGT (ticket-granting ticket) emesso dal KDC, che viene utilizzato per richiedere token di accesso dal servizio TGS (ticket-granting service) di Kerberos. In parole povere: il protocollo Kerberos consente di autenticare gli account utente del dominio senza dover chiedere alle persone di reinserire o memorizzare continuamente le password, e gli aggressori dispongono di strumenti specializzati per sfruttarlo. Lo fanno in questo modo:

  1. Enumerazione degli account di servizio: l'autore dell'attacco, che ha già ottenuto un punto d'appoggio nella rete, enumera gli account di servizio. Si tratta in genere di account con SPN registrati in Active Directory.
  2. Richiesta dei ticket: l'autore dell'attacco richiede un ticket di servizio (TGS) per gli account di servizio identificati.
  3. Concessione del ticket: il controller di dominio emette un ticket TGS (Ticket Granting Service) crittografato con l'hash della password dell'account di servizio.
  4. Estrazione dei ticket crittografati: il protocollo Kerberos restituisce un ticket crittografato, che include dati crittografati con l'hash NTLM dell'account di servizio.
  5. Cracking offline: l'autore dell'attacco utilizza strumenti come John the Ripper o Hashcat per decifrare l'hash della password e rivelare le password in chiaro.

Kerberoasting
Perché gli aggressori lo utilizzano

Perché gli hacker utilizzano Kerberoasting

Gli aggressori utilizzano Kerberoasting come tecnica per ottenere le password con hash degli account di servizio all'interno di un ambiente Microsoft Active Directory. Sfruttando il funzionamento dell'autenticazione Kerberos, gli aggressori possono estrarre questi hash delle password e tentare di decifrarli offline. La decifrazione di questi hash può garantire agli aggressori privilegi elevati, consentendo loro di muoversi lateralmente all'interno della rete, accedere a dati sensibili o compromettere ulteriormente il sistema.

Ecco i motivi per cui gli hacker utilizzano Kerberoasting:

Elevazione dei privilegi

  • Accesso agli account con privilegi elevati: gli account di servizio dispongono spesso di autorizzazioni elevate. Ottenendo le loro credenziali, gli aggressori possono eseguire azioni che richiedono privilegi più elevati.
  • Movimento laterale: grazie all'accesso agli account di servizio, gli aggressori possono spostarsi tra diversi sistemi all'interno della rete, ampliando il loro raggio d'azione.

Sfruttamento furtivo

  • Basso rischio di rilevamento: Kerberoasting essere eseguito da qualsiasi utente autenticato del dominio senza attivare immediatamente avvisi di sicurezza, poiché la richiesta di ticket di servizio è un comportamento standard.
  • Cracking delle password offline: poiché il cracking delle password avviene offline, evita il rilevamento da parte degli strumenti di monitoraggio della rete.

Sfruttamento di pratiche di sicurezza inadeguate

  • Password deboli o invariate: le password degli account di servizio sono spesso deboli o non vengono modificate regolarmente, rendendole vulnerabili alla violazione.
  • Configurazioni errate: account e autorizzazioni configurati in modo improprio possono facilitare Kerberoasting .

Non sono necessari privilegi speciali

  • Accessibile agli utenti regolari: qualsiasi utente con accesso al dominio può richiedere ticket di assistenza, rendendolo un vettore di attacco ampiamente accessibile.
  • Elusione delle restrizioni di rete: gli aggressori non hanno bisogno di accedere direttamente al controller di dominio o ai server sensibili per eseguire Kerberoasting.
Rilevamenti della piattaforma

Come rilevare Kerberoasting

Per proteggere la tua organizzazione dagli Kerberoasting , è fondamentale la diagnosi precoce. Oltre a monitorare i modelli di traffico Kerberos insoliti e le richieste di ticket, utilizza rilevamenti basati sul comportamento per identificare anomalie nelle richieste effettive. 

Vectra AI due tipi di Kerberoasting : 

  • Il rilevamento SPN Sweep si concentra sull'identificazione dei tentativi di enumerazione dei nomi principali dei servizi (SPN) all'interno dell'ambiente Active Directory. Questo mostra quando gli aggressori potrebbero raccogliere informazioni sugli account di servizio che possono prendere di mira.
  • Il rilevamento del downgrade della crittografia ricerca i tentativi di richiedere ticket Kerberos utilizzando tipi di crittografia più deboli, come la crittografia RC4. Questo ti mostra quando gli aggressori stanno probabilmente manipolando il sistema per generare ticket più facili da decifrare.

Il rilevamentoAccount Scan identifica i tentativi di interrogare il servizio di autenticazione Kerberos alla ricerca di account utente validi, un precursore comune del Kerberoasting.

Rilevamento
Kerberoasting: SPN Sweep
Per saperne di più
Rilevamento
Kerberoasting: richiesta di cifratura debole
Per saperne di più
Rilevamento
Kerberoasting: risposta mirata con cifratura debole
Per saperne di più
Rilevamento
Kerberos Brute-Sweep
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con rilevamenti avanzati

Kerberoasting una delle decine di rilevamenti avanzati basati sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti.

Esplora la piattaforma
Per saperne di più

Domande frequenti