Il processo di autenticazione Kerberos prevede una serie di passaggi per verificare l'identità degli utenti o dei servizi che richiedono l'accesso a una rete. Comprende la richiesta di ticket, la convalida e lo scambio sicuro di chiavi per garantire l'integrità della comunicazione.
Kerberos distribuisce le chiavi utilizzando un'entità fidata di terze parti nota come Key Distribution Center (KDC). Il KDC condivide in modo sicuro le chiavi di sessione tra il client e il server, impedendo l'accesso a entità non autorizzate.
Un Kerberos Golden Ticket è un artefatto potente e potenzialmente dannoso che può essere generato sfruttando le vulnerabilità del sistema di autenticazione Kerberos. Nel contesto della cybersecurity, un Golden Ticket si riferisce a un Ticket Granting Ticket (TGT) contraffatto che garantisce a un aggressore un accesso a lungo termine e illimitato a una rete.
Utilizzando un Ticket Granting Ticket contraffatto (TGT / Golden ticket) o un account compromesso, l'attaccante può richiedere l'accesso a un servizio (SPN) sulla rete. Questo servizio è associato a un account di servizio con privilegi elevati, ad esempio un account di servizio SQL. Il Centro di distribuzione delle chiavi (KDC) emette un ticket di servizio, che viene crittografato con la chiave pubblica della password dell'account di servizio. L'aggressore può quindi convertire questo ticket di servizio in un hash che può essere esportato in Hashcat o John The Ripper e quindi procedere al cracking della password offline. Questo attacco si basa su una scarsa igiene delle password per gli account di servizio, sul riutilizzo delle password tra gli account di servizio, sulla mancata scadenza delle password per gli account di servizio e persino sulla mancata rimozione delle vecchie voci SPN in Active Directory.
Per cercare potenziali prove di Kerberoasting sulla rete, un buon punto di partenza è il Kerberoasting Dashboard di Vectra Recall. Questo cruscotto monitora le risposte dei ticket con cifrari deboli (RC4) che possono essere potenzialmente decifrati offline. In genere, l'uso di cifrari deboli dovrebbe essere minimo all'interno del vostro ambiente, ma è possibile che il vostro ambiente abbia un gran numero di richieste Kerberos RC4 che rendono questo dashboard meno efficace.
Quando si guarda questa dashboard, si vedrà un grafico superiore che mostra tutti gli utenti del cifrario debole RC4; questo grafico dovrebbe essere vuoto, in quanto nessuno nella vostra organizzazione sta usando questo cifrario debole, ma potrebbe anche apparire come questo. Si può affermare con certezza che queste transazioni Kerberos provengono tutte da casi aziendali legittimi, quindi si dovrebbe cercare di nascondere queste istanze dal grafico facendo clic sull'icona "-" accanto a ciascun IP nella legenda.
Dopo aver nascosto i server che si verificano più frequentemente, si dovrebbe vedere un grafico come quello riportato di seguito, con un chiaro outlier che giustifica un'indagine.
Fare clic sull'IP di questo server e fare clic sull'icona "+" per concentrarsi solo su di esso; nella parte inferiore della dashboard, sarà possibile vedere rapidamente i client che effettuano richieste a questo server e, se un singolo client ha effettuato un gran numero di richieste, è consigliabile fare riferimento ad altre fonti di metadati, come LDAP e RPC, per determinare se si sono verificate altre attività sospette in un determinato periodo di tempo.
Ulteriori informazioni sui nostri rilevamenti relativi a Kerberoasting:
> Scansione dell'account Kerberos
La protezione della rete contro il kerberoasting richiede una combinazione di politiche di password forti, monitoraggio vigile e formazione continua. Vectra AI fornisce soluzioni di sicurezza avanzate che possono aiutare a rilevare attività sospette indicative di kerberoasting e altre tecniche di furto di credenziali. Contattateci per rafforzare le vostre difese e garantire l'integrità dei vostri protocolli di autenticazione e degli account di servizio.
Il protocollo di autenticazione Kerberos è un sistema di autenticazione di rete che utilizza la crittografia a chiave segreta per consentire ai nodi che comunicano su una rete non sicura di dimostrare la propria identità in modo sicuro. È ampiamente utilizzato negli ambienti Windows Active Directory.
Un attacco kerberoasting prevede che un aggressore acceda alla rete come utente normale. Quindi enumera gli account di servizio in Active Directory che sono registrati con i Service Principal Names (SPN). L'aggressore richiede i ticket TGS per questi account, che vengono crittografati utilizzando la password dell'account. Questi ticket possono quindi essere violati offline per scoprire la password in chiaro dell'account.
Un attacco kerberoasting riuscito può portare all'accesso non autorizzato ad aree sensibili della rete, alla violazione dei dati, al movimento laterale all'interno della rete e all'escalation dei privilegi, a seconda del livello di accesso posseduto dall'account di servizio compromesso.
Le organizzazioni possono rilevare l'attività di kerberoasting monitorando un volume insolito di richieste TGS per gli account di servizio, in particolare quelle effettuate da utenti non amministrativi, o identificando modelli anomali nel traffico di rete che indicano richieste di ticket di massa.
Le strategie preventive comprendono: Implementare password forti e complesse per gli account di servizio e cambiarle regolarmente. Limitare il numero di account di servizio con nomi di principi di servizio (SPN) registrati. Utilizzare politiche di blocco degli account per contrastare i tentativi di brute-force. Utilizzare Advanced Threat Analytics (ATA) o strumenti simili per monitorare e segnalare attività sospette indicative di kerberoasting.
Sebbene l'MFA sia una misura efficace per migliorare la sicurezza degli account utente, gli attacchi di kerberoasting prendono di mira specificamente gli account di servizio che di solito non utilizzano l'MFA per l'autenticazione, rendendo altre misure di protezione più importanti per difendersi da questo tipo di attacchi.
Il controllo regolare delle password e l'applicazione della complessità delle password per gli account di servizio sono difese fondamentali contro il kerberoasting. Le password forti e complesse sono molto più difficili da decifrare, anche se il ticket TGS viene ottenuto da un aggressore.
Le organizzazioni devono reimpostare immediatamente le password di tutti gli account di servizio compromessi, condurre un audit di sicurezza approfondito per determinare l'entità dell'accesso ottenuto dall'aggressore e rivedere e rafforzare le politiche e le pratiche di sicurezza per prevenire incidenti futuri.
La formazione sulla sicurezza svolge un ruolo cruciale, informando gli amministratori e il personale IT sulla natura degli attacchi kerberoasting, sull'importanza di pratiche di password sicure per gli account di servizio e sulla necessità di un monitoraggio vigile dei processi di autenticazione e autorizzazione.
Gli sviluppi futuri potrebbero includere progressi nei meccanismi di crittografia e autenticazione che rendono i ticket Kerberos più difficili da sfruttare, nonché miglioramenti nelle tecnologie di intelligenza artificiale e di apprendimento automatico per rilevare e rispondere in modo più efficace alle richieste di autenticazione anomale.