Kerberoasting
Kerberoasting è una tecnica di attacco sofisticata che sfrutta il protocollo di autenticazione Kerberos per decifrare le password degli account di servizio nelle reti Windows. Prendendo di mira gli account di servizio con password deboli o facilmente indovinabili, gli aggressori possono richiedere ticket per il Ticket Granting Service (TGS) e successivamente decifrarli offline per rivelare le password in chiaro.
- Negli ultimi anni, il kerberoasting è stato identificato come una tecnica utilizzata in oltre il 20% dei test di penetrazione della rete, il che indica la sua popolarità tra gli aggressori. (Fonte: Istituto Sans)
- Il tempo medio per craccare una password kerberoasted si riduce significativamente con l'uso di potenti array di GPU, evidenziando la necessità di politiche di password forti. (Fonte: Hashcat)
Come funziona Kerberos?
Il processo di autenticazione Kerberos prevede una serie di passaggi per verificare l'identità degli utenti o dei servizi che richiedono l'accesso a una rete. Comprende la richiesta di ticket, la convalida e lo scambio sicuro di chiavi per garantire l'integrità della comunicazione.
Kerberos distribuisce le chiavi utilizzando un'entità fidata di terze parti nota come Key Distribution Center (KDC). Il KDC condivide in modo sicuro le chiavi di sessione tra il client e il server, impedendo l'accesso a entità non autorizzate.
Attacchi al Golden Ticket
Un Kerberos Golden Ticket è un artefatto potente e potenzialmente dannoso che può essere generato sfruttando le vulnerabilità del sistema di autenticazione Kerberos. Nel contesto della cybersecurity, un Golden Ticket si riferisce a un Ticket Granting Ticket (TGT) contraffatto che garantisce a un aggressore un accesso a lungo termine e illimitato a una rete.
Utilizzando un Ticket Granting Ticket contraffatto (TGT / Golden ticket) o un account compromesso, l'attaccante può richiedere l'accesso a un servizio (SPN) sulla rete. Questo servizio è associato a un account di servizio con privilegi elevati, ad esempio un account di servizio SQL. Il Centro di distribuzione delle chiavi (KDC) emette un ticket di servizio, che viene crittografato con la chiave pubblica della password dell'account di servizio. L'aggressore può quindi convertire questo ticket di servizio in un hash che può essere esportato in Hashcat o John The Ripper e quindi procedere al cracking della password offline. Questo attacco si basa su una scarsa igiene delle password per gli account di servizio, sul riutilizzo delle password tra gli account di servizio, sulla mancata scadenza delle password per gli account di servizio e persino sulla mancata rimozione delle vecchie voci SPN in Active Directory.
A caccia di Kerberoasting
Per cercare potenziali prove di Kerberoasting sulla rete, un buon punto di partenza è Vectra Recall's Kerberoasting Dashboard. Questa dashboard monitora le risposte ai ticket con cifrari deboli (RC4) che possono essere potenzialmente violati offline. In genere, l'uso di cifrari deboli dovrebbe essere minimo all'interno del vostro ambiente, ma è possibile che il vostro ambiente abbia un gran numero di richieste Kerberos RC4 che rendono questo dashboard meno efficace.
Quando si guarda questa dashboard, si vedrà un grafico superiore che mostra tutti gli utenti del cifrario debole RC4; questo grafico dovrebbe essere vuoto, poiché nessuno nella vostra organizzazione sta usando questo cifrario debole, ma potrebbe anche apparire come questo. Si può affermare con certezza che queste transazioni Kerberos provengono tutte da casi aziendali legittimi, quindi si dovrebbe cercare di nascondere queste istanze dal grafico facendo clic sull'icona "-" accanto a ciascun IP nella legenda.
Dopo aver nascosto i server che si verificano più frequentemente, si dovrebbe vedere un grafico come quello riportato di seguito, con un chiaro outlier che giustifica un'indagine.
Fare clic sull'IP di questo server e fare clic sull'icona "+" per concentrarsi solo su di esso; nella parte inferiore della dashboard, sarà possibile vedere rapidamente i client che effettuano richieste a questo server e, se un singolo client ha effettuato un gran numero di richieste, è consigliabile fare riferimento ad altre fonti di metadati, come LDAP e RPC, per determinare se si sono verificate altre attività sospette in un determinato periodo di tempo.
Ulteriori informazioni sui nostri rilevamenti relativi a Kerberoasting:
> Scansione dell'account Kerberos
La protezione della rete contro il kerberoasting richiede una combinazione di politiche di password forti, monitoraggio vigile e formazione continua. Vectra AI offre soluzioni di sicurezza avanzate che possono aiutare a rilevare attività sospette indicative di kerberoasting e altre tecniche di furto di credenziali. Contattateci per rafforzare le vostre difese e garantire l'integrità dei vostri protocolli di autenticazione e degli account di servizio.