Что такое Kerberoasting и стоит ли об этом беспокоиться?

Билеты Kerberos делают Интернет более безопасным, предоставляя компьютерам и серверам в сети средства для передачи данных без необходимости проверки их личности на каждом этапе. Однако эта роль одноразового, хотя и временного, аутентификатора делает билеты Kerberos привлекательными для злоумышленников, которые могут взломать их шифрование.

Что такое билеты Kerberos?

Если вы думаете, что «Kerberos» звучит знакомо, вы правы. Это греческое имя собаки Аида (также известной как «Цербер»). Но Kerberos не комнатная собачка; у него несколько голов, и он охраняет врата подземного мира. Kerberos предотвращает уход мертвых и не дает обезумевшим персонажам вернуть своих возлюбленных из мрачной загробной жизни. Таким образом, вы можете рассматривать собаку как средство проверки подлинности, предотвращающее несанкционированный доступ.

Kerberos — это протокол сетевой аутентификации, использующий криптографические ключи для проверки связи между клиентами (персональными компьютерами) и серверами в компьютерных сетях. Kerberos был создан Массачусетским технологическим институтом (MIT) для того, чтобы клиенты могли подтверждать свою личность серверам при выполнении запросов данных. Точно так же серверы используют билеты Kerberos, чтобы доказать, что отправленные данные являются подлинными, из предполагаемого источника и не были повреждены.

Билеты Kerberos — это в основном сертификаты, выдаваемые клиентам доверенной третьей стороной (называемой центром распространения ключей — для краткости KDC). Клиенты представляют этот сертификат вместе с уникальным сеансовым ключом серверу, когда он инициирует запрос данных. Представление и аутентификация билета устанавливает доверие между клиентом и сервером, поэтому нет необходимости проверять каждый запрос или команду.

Как работают билеты Kerberos?

Билеты Kerberos аутентифицируют доступ пользователей к службам. Они также помогают серверам разделять доступ в случаях, когда к одной и той же службе обращаются несколько пользователей. Таким образом, запросы не просачиваются друг в друга, а посторонние лица не могут получить доступ к данным, доступ к которым ограничен привилегированными пользователями.

Например, Microsoft использует Kerberos протокол аутентификации, когда пользователи получают доступ к серверам Windows или операционным системам ПК. Итак, когда вы входите в свой компьютер после загрузки, ОС использует билеты Kerberos для аутентификации вашего отпечатка пальца или пароля.

Ваш компьютер временно сохраняет билет в памяти процесса службы подсистемы локального органа безопасности (LSASS) для этого сеанса. С этого момента ОС использует кешированный билет для аутентификации с единым входом, поэтому вам не нужно вводить свои биометрические данные или пароль каждый раз, когда вам нужно сделать что-то, что требует прав администратора.

В более широком масштабе билеты Kerberos используются для защиты сетевых коммуникаций в Интернете. Сюда входят такие вещи, как шифрование HTTPS и проверка имени пользователя и пароля при входе в систему. Без Kerberos сетевые коммуникации были бы уязвимы для таких атак, как подделка межсайтовых запросов (CSRF) и взломы «человек посередине».

Что такое Kerberoasting?

Kerberoasting — это метод атаки, при котором киберпреступники крадут билеты Kerberos с серверов и пытаются извлечь хэши паролей в виде открытого текста. По своей сути эта атака представляет собой социальную инженерию. кража учетных данных, и лобовая атака, все в одном лице. На первом и втором шагах злоумышленник выдает себя за клиента и запрашивает билеты Kerberos с сервера.

Разумеется, билет зашифрован. Тем не менее, получение билета решает одну из двух задач для хакера. После того, как они получат билет Kerberos с сервера, следующая задача — расшифровать его любыми средствами. Хакеры, владеющие билетами Kerberos, пойдут на все, чтобы взломать этот файл из-за его ценности.

Как работают атаки Kerberoasting?

Kerberoasting использует две распространенные ошибки безопасности в активных каталогах — использование коротких и слабых паролей и защита файлов слабым шифрованием. Атака начинается с того, что хакер использует учетную запись пользователя для запроса билета Kerberos у KDC.

Затем KDC выдает зашифрованный билет, как и ожидалось. Вместо того, чтобы использовать этот билет для аутентификации на сервере, хакер переводит его в автономный режим и пытается взломать билет методом грубой силы. Для этого используются бесплатные инструменты с открытым исходным кодом, такие как mimikatz, Hashcat и JohnTheRipper. Атаку также можно автоматизировать с помощью таких инструментов, как invoke-kerberoast и Rubeus.

Успешная атака kerberoasting извлечет из билета незашифрованные пароли. Затем злоумышленник может использовать это для проверки подлинности запросов к серверу от скомпрометированной учетной записи пользователя. Что еще хуже, злоумышленник может использовать вновь обнаруженный несанкционированный доступ для кражи данных, перемещаться в горизонтальном направлении в активном каталогеи настройте фиктивные учетные записи с правами администратора.

Стоит ли беспокоиться о Kerberoasting?

Kerberoasting — это популярная атака на активные каталоги, и вам следует беспокоиться об этом, если вы являетесь администратором домена или оператором синей команды. Конфигурация домена по умолчанию для обнаружения этой атаки отсутствует. Большинство из них происходит в оффлайне. Если вы были жертвой этого, вы, скорее всего, узнаете об этом постфактум.

Вы можете уменьшить уязвимость, убедившись, что все в вашей сети используют длинные пароли, состоящие из случайных буквенно-цифровых символов и символов. Кроме того, вам следует использовать расширенное шифрование и настроить оповещения о необычных запросах от пользователей домена. Вам также нужно будет защищаться от социальной инженерии, чтобы предотвратить нарушения безопасности, которые в первую очередь начинаются с Kerberoating.