Kerberoasting攻击

攻击者如何渗透身份验证.

InsightIDR产品

课题概述

2023-年中威胁报告

在这份报告中, 我们的研究和管理服务专家分享了Rapid7今年迄今为止观察和跟踪的攻击的见解和趋势数据.

下载报告

什么是Kerberoasting? 

Kerberoasting攻击是攻击者获取Active 导演y帐户凭证的一种方法, 然后利用这些凭证窃取数据. 术语Kerberoasting是一个文字游戏,因为它利用了 Kerberos, 一种网络身份验证协议,用于确保客户端和服务之间的身份验证请求在Internet等不受信任的网络中是安全的.

在Kerberoasting攻击中, 威胁参与者利用窃取的凭据来获取加密消息,然后脱机解密它们. 使威胁行为者更难以获得访问权限.e. 不断升级的特权, 是一种抵御kerberos攻击的方法吗, 但是攻击者只需要破坏一个用户的帐户就可以获得访问凭据的权限.

为什么使用Kerberoasting攻击很流行? 

Kerberoasting攻击之所以流行,是因为将访问权限授予系统认为合法的用户. 由于发现受损或被盗凭据的滞后时间, 威胁行为者伪装成网络合法用户的时间就越长, 这个人或组织就有更多的时间四处闲逛,随心所欲地访问/窃取数据.

事实上, 网络安全基础设施和安全局(CISA) 美国政府的首席执行官表示,使用kerberos是提升特权、在网络中横向移动和不受限制的最省时的方法之一.

基于kerberos的攻击是如何实现的? 

Kerberos攻击通过利用Kerberos身份验证协议来实现: 

  • 扫描具有服务主体名称(SPN)的用户的Active 导演y (AD), 一个唯一的标识符,帮助用户通过身份验证进入一个特定的帐户
  • 为带有spn的帐户从AD请求服务票证
  • 提取票据并将其保存在本地/离线
  • 脱机解密这些票据,目的是获取密码信息
  • 使用检索到的密码和凭据对其他网络服务进行身份验证
  • 在一段时间内,在整个网络中横向移动,不受检查,以窃取关键数据

kerberos攻击不需要管理员帐户,甚至不需要更高的特权. 事实上, 这类攻击特别吸引人的一点是任何域用户帐户都可以被使用因为所有帐户都可以向票据授予服务器(TGS)请求服务票据.

一旦攻击者访问了用户的帐户, 他们通常可以登录到该域中的任何工作站, 运行需要启用kerberos的服务帐户的服务的工作站.

Subsequent actions such as lateral movement 和 exfiltration can happen right “under the noses” of the entire security organization 和 business at large if an attacker is impersonating someone with elevated privileges; indeed, 仿冒的高级性质可能使企业承担极大的责任, 即使攻击者在相对较短的时间内被抓住.

不受限制的横向变动对任何组织来说都是可怕的, 这就是为什么更快检测到这种微妙的恶意和危险行为的安全工具变得比以往任何时候都重要的原因.

Kerberoasting攻击举例

Kerberoasting攻击有许多不同的执行方式, 那么让我们来放大一下一个执行的内部工作原理: 

  • 威胁行为者将进行侦察,以找到他们想要访问的账户.
  • 然后,威胁行为者将向TGS请求票据以泄露密码数据. 
  • 下一个, 威胁行为者可以更平静地进行,因为这部分是离线进行的:密码解密. 
  • 一旦威胁参与者获得所需的密码/凭据集, 它们可以对TGS可以访问和发起通信的网络上几乎任何系统或资源进行身份验证. 
  • Post-authentication, 威胁行为者可以破坏数据并在网络中横向移动,直到他们被检测到——如果他们被检测到的话.

根据CISA, Kerberoasting是俄罗斯国家资助的高级持续性威胁(APT)攻击者首选的攻击方法, 攻击者已经执行了上面讨论的kerberos攻击方法.

检测和防范Kerberoasting攻击 

一旦攻击者在经过适当认证的配置文件下获得对网络的访问权限, 从理论上讲,它们可以轻松地在网络中横向移动. 以这种方式, 如果数据盗窃是有技巧的,那么检测恶意活动(特别是不断弹出误报警报)可能不是一项小任务.

这种高水平的误报是唯一的原因 主教法冠 推荐可能会带来挑战. 为了克服这一点并滤除所有多余的噪声,应该采取额外的步骤. Rapid7的insighttidr可以通过以下方式实现这一目标:

  • 使用机器学习(ML)构建用户活动基线,以识别非典型请求模式
  • 提供额外的验证层,专注于高度异常和潜在的恶意活动
  • 限制对最有可能是恶意的信号的警报, 包含所有相关的用户上下文, 以便更迅速有效地调查事件

防止Kerberoasting攻击的方法有很多, 但最主要的是要确保整个组织的良好密码卫生. 关键是要使用随机生成的凭据,并尽可能严格地锁定那些具有升级权限的帐户. 

如何应对kerberos攻击

现在, 让我们将注意力转向在检测到正在进行的kerberos攻击时的正确响应. 当然, 很容易想象最坏的情况,威胁行为者冒充了一个有适当凭证的个人,访问了很长时间,可能窃取了太多的数据.

深呼吸几次后,以下步骤可以帮助你做出适当的反应:

  • 考虑与检测和响应供应商合作,以获得更快的攻击修复的高级专业知识.
  • 更改所有帐户凭据并启用多因素身份验证(MFA)以及制定 最低权限访问(LPA)
  • 用组管理的服务帐户替换用户帐户. 
  • 定义网络安全的整体安全策略设置,并确保其尽可能无风险. 

MFA是避免Kerberoasting攻击的一种相对简单的方法. 在多个设备之间要求多种形式的身份验证可以帮助抵御大量的攻击企图. 从企业的角度来看, 挑战将是将MFA软件推向整个员工基础,并希望他们采用这种保护业务的关键实践.

尽管实现这些相当简单的安全检查似乎是常识, 世界上仍有许多企业缺乏适当的密码或像MFA这样的认证卫生措施.

Kerberoasting攻击概述

当威胁参与者能够将Kerberos等安全协议变成窃取数据的工具时,这是令人失望和恐惧的. It doesn’t mean the tooling should be cast aside; indeed, Kerberos是在不安全的环境中保证用户安全的关键工具.

如上所述, 实现检测工具以尽早阻止威胁参与者是一种有效的对策,可以保证这一重要身份验证协议的安全. 例如, Rapid7的insighttidr可以持续地为用户活动设定基线,以便更容易、更快地检测到可疑活动.

它还可以利用外部威胁情报,对网络边界以外的检测至关重要. 这考虑了最近的网络端点的深度 黑暗的网络. 无论安全组织选择使用哪种产品或解决方案来阻止使用kerberos和APT的行为者, 重要的是要考虑到,伪装成员工进入网络比以往任何时候都要容易.

这通常是如何执行的? 当然是通过偷来的证件. 这就是为什么持续分析是如此重要 用户和实体行为分析 通过网络将活动连接到特定用户. 如果用户的行为不寻常,分析师会很快发现并进行调查. 也可能是一名真正的员工——有意或无意地——带来了某种风险.

阅读更多关于kerberos的信息

Rapid7在AI创新中迈出了新的AI驱动威胁检测的下一步

了解更多关于如何识别攻击与Rapid7的解决方案