Kerberoasting
Approfondimenti chiave
- Negli ultimi anni, il kerberoasting è stato identificato come una tecnica utilizzata in oltre il 20% dei test di penetrazione della rete, a dimostrazione della sua popolarità tra gli hacker. (Fonte: Sans Institute)
- Il tempo medio necessario per violare una password protetta da Kerberos si riduce notevolmente con l'uso di potenti array GPU, evidenziando la necessità di politiche di password forti. (Fonte: Hashcat)
Come funziona Kerberos?
Il processo di autenticazione Kerberos prevede una serie di passaggi per verificare l'identità degli utenti o dei servizi che richiedono l'accesso a una rete. Comprende la richiesta di ticket, la convalida e lo scambio sicuro di chiavi per garantire l'integrità della comunicazione.
Kerberos distribuisce le chiavi utilizzando un'entità terza affidabile denominata Key Distribution Center (KDC). Il KDC condivide in modo sicuro le chiavi di sessione tra il client e il server, impedendo l'accesso a entità non autorizzate.
Attacchi Golden Ticket
Un Kerberos Golden Ticket è un artefatto potente e potenzialmente dannoso che può essere generato sfruttando le vulnerabilità del sistema di autenticazione Kerberos. Nel contesto della sicurezza informatica, un Golden Ticket si riferisce a un Ticket Granting Ticket (TGT) contraffatto che garantisce a un aggressore un accesso a lungo termine e senza restrizioni a una rete.
Utilizzando un ticket di concessione ticket contraffatto (TGT / Golden ticket) o un account compromesso, l'autore dell'attacco può richiedere l'accesso a un servizio (SPN) sulla rete. Questo servizio è associato a un account di servizio con privilegi elevati, ad esempio un account di servizio SQL. Il Key Distribution Centre (KDC) emetterà un ticket di servizio, che viene crittografato con la chiave pubblica della password degli account di servizio. L'autore dell'attacco può quindi convertire questo ticket di servizio in un hash che può essere esportato in Hashcat o John The Ripper e quindi procedere alla violazione della password offline. Questo attacco si basa su una scarsa igiene delle password per gli account di servizio, il riutilizzo delle password tra account di servizio, la mancata scadenza delle password per gli account di servizio e persino la mancata rimozione delle vecchie voci SPN in Active Directory.
A caccia di Kerberoasting
Per cercare potenziali prove di Kerberoasting tua rete, un buon punto di partenza è Kerberoasting RecallVectra Recall. Questa dashboard monitora le risposte dei ticket con cifrari deboli (RC4) che possono essere potenzialmente violati offline. In genere, l'uso di cifrari deboli dovrebbe essere minimo all'interno del tuo ambiente, poiché, come in tutti gli esempi qui riportati, è possibile che il tuo ambiente abbia un numero elevato di richieste Kerberos RC4, rendendo questa dashboard meno efficace.
Quando guardi questa dashboard, vedrai un grafico in alto che mostra tutti gli utenti che utilizzano il debole cifrario RC4. Questo grafico dovrebbe essere vuoto, poiché nessuno nella tua organizzazione utilizza questo cifrario debole, ma potrebbe anche apparire così. Si può affermare con certezza che queste transazioni Kerberos provengono tutte da casi aziendali legittimi, quindi dovresti cercare di nascondere queste istanze dal grafico facendo clic sull'icona "–" accanto a ciascun IP nella legenda.
Dopo aver nascosto i server più comuni, dovresti vedere un grafico simile a quello riportato di seguito con un chiaro valore anomalo che richiede un'indagine.
Clicca sull'IP di questo server e poi sull'icona "+" per concentrarti solo su questo, e nella parte inferiore di questa dashboard potrai vedere rapidamente i client che inviano richieste a questo server, e se un singolo client ha inviato un numero elevato di richieste, dovresti passare ad altre fonti di metadati come LDAP e RPC per determinare se si sono verificate altre attività sospette in quel determinato periodo di tempo.
Maggiori informazioni sui nostri rilevamenti relativi al Kerberoasting:
Per proteggere la tua rete dal kerberoasting è necessaria una combinazione di politiche di password complesse, monitoraggio vigile e formazione continua. Vectra AI soluzioni di sicurezza avanzate che possono aiutare a rilevare attività sospette indicative di kerberoasting e altre tecniche di furto di credenziali. Contattaci per rafforzare le tue difese e garantire l'integrità dei tuoi protocolli di autenticazione e account di servizio.
Altri fondamenti della sicurezza informatica
Domande frequenti
Che cos'è il protocollo di autenticazione Kerberos?
Il protocollo di autenticazione Kerberos è un sistema di autenticazione di rete che utilizza la crittografia a chiave segreta per consentire ai nodi che comunicano su una rete non sicura di dimostrare la propria identità in modo sicuro. È ampiamente utilizzato negli ambienti Windows Active Directory.
Come funziona un attacco kerberoasting?
Un attacco kerberoasting prevede che l'autore dell'attacco ottenga innanzitutto l'accesso alla rete come utente normale. Successivamente, elenca gli account di servizio in Active Directory registrati con nomi principali di servizio (SPN). L'autore dell'attacco richiede ticket TGS per tali account, che vengono crittografati utilizzando la password dell'account. Questi ticket possono quindi essere decifrati offline per scoprire la password in chiaro dell'account.
Quali sono le implicazioni di un attacco kerberoasting riuscito?
Un attacco kerberoasting riuscito può portare ad accessi non autorizzati ad aree sensibili della rete, violazioni dei dati, movimenti laterali all'interno della rete e escalation dei privilegi, a seconda del livello di accesso posseduto dall'account di servizio compromesso.
In che modo le organizzazioni possono rilevare attività di kerberoasting?
Le organizzazioni possono rilevare attività di kerberoasting monitorando un volume insolito di richieste TGS per account di servizio, in particolare quelle effettuate da utenti non amministratori, oppure identificando modelli anomali nel traffico di rete che indicano richieste di ticket di massa.
Quali strategie possono aiutare a prevenire gli attacchi di kerberoasting?
Le strategie preventive includono: implementazione di password complesse e sicure per gli account di servizio e loro modifica regolare; limitazione del numero di account di servizio con nomi principali di servizio (SPN) registrati; utilizzo di criteri di blocco degli account per contrastare i tentativi di forza bruta; utilizzo di Advanced Threat Analytics (ATA) o strumenti simili per monitorare e segnalare attività sospette indicative di kerberoasting.
L'autenticazione a più fattori (MFA) può mitigare il rischio di kerberoasting?
Sebbene l'autenticazione a più fattori (MFA) sia una misura efficace per migliorare la sicurezza degli account utente, gli attacchi kerberoasting prendono di mira specificamente gli account di servizio che in genere non utilizzano l'autenticazione MFA, rendendo altre misure di protezione più rilevanti per difendersi da questo tipo di attacchi.
Quanto sono importanti il controllo regolare delle password e la loro complessità per gli account di servizio?
Il controllo regolare delle password e l'applicazione di regole di complessità per gli account di servizio sono difese fondamentali contro il kerberoasting. Password complesse e sicure sono molto più difficili da violare, anche se l'aggressore ottiene il ticket TGS.
Come dovrebbero reagire le organizzazioni a un attacco kerberoasting sospetto o confermato?
Le organizzazioni dovrebbero immediatamente reimpostare le password di tutti gli account di servizio compromessi, condurre un audit di sicurezza approfondito per determinare l'entità dell'accesso ottenuto dall'autore dell'attacco e rivedere e rafforzare le politiche e le pratiche di sicurezza per prevenire incidenti futuri.
Che ruolo svolge la formazione sulla consapevolezza della sicurezza nella prevenzione del kerberoasting?
La formazione sulla consapevolezza della sicurezza svolge un ruolo fondamentale nell'informare gli amministratori e il personale IT sulla natura degli attacchi kerberoasting, sull'importanza di pratiche sicure relative alle password per gli account di servizio e sulla necessità di un monitoraggio attento dei processi di autenticazione e autorizzazione.
Quali sviluppi futuri potrebbero influire sulla prevalenza o sull'individuazione degli attacchi di kerberoasting?
Gli sviluppi futuri potrebbero includere progressi nei meccanismi di crittografia e autenticazione che rendono più difficile lo sfruttamento dei ticket Kerberos, nonché miglioramenti nelle tecnologie di intelligenza artificiale e apprendimento automatico per rilevare e rispondere in modo più efficace alle richieste di autenticazione anomale.