Kerberoasting攻击是攻击者获取Active Directory帐户凭证的一种方法, 然后利用这些凭证窃取数据. 术语Kerberoasting是一个文字游戏,因为它利用了 Kerberos, 一种网络身份验证协议,用于确保客户端和服务之间的身份验证请求在Internet等不受信任的网络中是安全的.
During a Kerberoasting attack, 威胁参与者利用窃取的凭据来获取加密消息,然后脱机解密它们. 使威胁行为者更难以获得访问权限.e. escalating privileges, 是一种抵御kerberos攻击的方法吗, 但是攻击者只需要破坏一个用户的帐户就可以获得访问凭据的权限.
Kerberoasting攻击之所以流行,是因为将访问权限授予系统认为合法的用户. 由于发现受损或被盗凭据的滞后时间, 威胁行为者伪装成网络合法用户的时间就越长, 这个人或组织就有更多的时间四处闲逛,随心所欲地访问/窃取数据.
Indeed, the 网络安全基础设施和安全局(CISA) 美国政府的首席执行官表示,使用kerberos是提升特权、在网络中横向移动和不受限制的最省时的方法之一.
Kerberos攻击通过利用Kerberos身份验证协议来实现:
kerberos攻击不需要管理员帐户,甚至不需要更高的特权. In fact, 这类攻击特别吸引人的一点是任何域用户帐户都可以被使用因为所有帐户都可以向票据授予服务器(TGS)请求服务票据.
一旦攻击者访问了用户的帐户, 他们通常可以登录到该域中的任何工作站, 运行需要启用kerberos的服务帐户的服务的工作站.
Subsequent actions such as lateral movement and exfiltration can happen right “under the noses” of the entire security organization and business at large if an attacker is impersonating someone with elevated privileges; indeed, 仿冒的高级性质可能使企业承担极大的责任, 即使攻击者在相对较短的时间内被抓住.
不受限制的横向变动对任何组织来说都是可怕的, 这就是为什么更快检测到这种微妙的恶意和危险行为的安全工具变得比以往任何时候都重要的原因.
Kerberoasting攻击有许多不同的执行方式, 那么让我们来放大一下一个执行的内部工作原理:
According to CISA, Kerberoasting是俄罗斯国家资助的高级持续性威胁(APT)攻击者首选的攻击方法, 攻击者已经执行了上面讨论的kerberos攻击方法.
一旦攻击者在经过适当认证的配置文件下获得对网络的访问权限, 从理论上讲,它们可以轻松地在网络中横向移动. In this way, 如果数据盗窃是有技巧的,那么检测恶意活动(特别是不断弹出误报警报)可能不是一项小任务.
这种高水平的误报是唯一的原因 MITRE 推荐可能会带来挑战. 为了克服这一点并滤除所有多余的噪声,应该采取额外的步骤. Rapid7的insighttidr可以通过以下方式实现这一目标:
防止Kerberoasting攻击的方法有很多, 但最主要的是要确保整个组织的良好密码卫生. 关键是要使用随机生成的凭据,并尽可能严格地锁定那些具有升级权限的帐户.
Now, 让我们将注意力转向在检测到正在进行的kerberos攻击时的正确响应. Of course, 很容易想象最坏的情况,威胁行为者冒充了一个有适当凭证的个人,访问了很长时间,可能窃取了太多的数据.
深呼吸几次后,以下步骤可以帮助你做出适当的反应:
MFA是避免Kerberoasting攻击的一种相对简单的方法. 在多个设备之间要求多种形式的身份验证可以帮助抵御大量的攻击企图. From an enterprise standpoint, 挑战将是将MFA软件推向整个员工基础,并希望他们采用这种保护业务的关键实践.
尽管实现这些相当简单的安全检查似乎是常识, 世界上仍有许多企业缺乏适当的密码或像MFA这样的认证卫生措施.
当威胁参与者能够将Kerberos等安全协议变成窃取数据的工具时,这是令人失望和恐惧的. It doesn’t mean the tooling should be cast aside; indeed, Kerberos是在不安全的环境中保证用户安全的关键工具.
As mentioned above, 实现检测工具以尽早阻止威胁参与者是一种有效的对策,可以保证这一重要身份验证协议的安全. For instance, Rapid7的insighttidr可以持续地为用户活动设定基线,以便更容易、更快地检测到可疑活动.
它还可以利用外部威胁情报,对网络边界以外的检测至关重要. 这考虑了最近的网络端点的深度 Dark Web. 无论安全组织选择使用哪种产品或解决方案来阻止使用kerberos和APT的行为者, 重要的是要考虑到,伪装成员工进入网络比以往任何时候都要容易.
How is this typically executed? Through stolen credentials, of course. 这就是为什么持续分析是如此重要 用户和实体行为分析 通过网络将活动连接到特定用户. 如果用户的行为不寻常,分析师会很快发现并进行调查. 也可能是一名真正的员工——有意或无意地——带来了某种风险.