kerberasting

  • De nuestro equipo de expertos
Programe una demostración
Haga un recorrido

kerberasting

  • De nuestro equipo de expertos
Programe una demostración
Haga un recorrido
Índice del Contenido

Demo

Consulte las Silverfort plataforma en acción

Descubra por qué las principales empresas confían en nosotros para proteger lo que otros no pueden.

Programe una demostración

Kerberoasting es un método de ataque sofisticado que explota el protocolo de autenticación Kerberos integral para Active Directory (ANUNCIO). Kerberos está diseñado para facilitar la autenticación segura en redes potencialmente inseguras y se convierte en un cómplice involuntario de estos ataques, proporcionando una puerta trasera a través de la cual los atacantes pueden obtener acceso no autorizado a sistemas y datos confidenciales.

Kerberoasting se dirige específicamente cuentas de servicio dentro de un entorno AD, aprovechando el hecho de que cualquier usuario autenticado puede solicitar tickets del Servicio de concesión de tickets (TGS) para cualquier servicio.

Los atacantes aprovechan esta funcionalidad para solicitar tickets TGS asociados con nombres principales de servicio (SPN) y luego trabajan sin conexión para descifrar los tickets cifrados y extraer contraseñas de cuentas de servicio. Esta técnica permite a los atacantes eludir las defensas de la red y obtener acceso a áreas restringidas sin ser detectados.

La amenaza que plantea Kerberoasting es significativa debido a su naturaleza sigilosa y al potencial de violaciones de alto impacto. Organizaciones que aprovechan AD para la red autenticación y la autorización debe ser consciente de este vector de amenaza para implementar defensas efectivas.

Comprender el Kerberoasting (sus mecanismos, implicaciones y estrategias de prevención) es crucial para los profesionales de TI y ciberseguridad encargados de defender los activos digitales de sus organizaciones.

Cómo funciona el Kerberoasting

Kerberoasting explota el protocolo de autenticación Kerberos, que es un aspecto central de Active Directory (AD) Se utiliza para autenticar usuarios y servicios en una red. Comprender este ataque requiere una comprensión fundamental del propio Kerberos, que opera con un mecanismo basado en tickets para garantizar comunicaciones seguras a través de una red.

El protocolo de autenticación Kerberos

En el corazón de Kerberos se encuentra el Ticket de concesión de tickets (TGT), que se obtiene cuando el usuario inicia sesión correctamente. Luego, el TGT se utiliza para solicitar boletos del Servicio de concesión de boletos (TGS) para acceder a diversos servicios de red. Estos servicios se identifican por sus nombres principales de servicio (SPN). Es un sistema diseñado para la seguridad, pero su arquitectura, sin darse cuenta, abre una puerta a la explotación.

El vector de ataque

Kerberoasting aprovecha el hecho de que cualquier usuario autenticado dentro de un dominio puede solicitar tickets TGS para cualquier servicio definido bajo un SPN. Al hacerse pasar por un usuario legítimo, un atacante solicita tickets de servicios de TGS, los cuales están cifrados utilizando la contraseña de la cuenta del servicio. Este ataque se basa en la capacidad del atacante para desconectar estos tickets cifrados e intentar descifrarlos para revelar la contraseña de la cuenta de servicio.

Este proceso implica los siguientes pasos:

  1. Escaneo de cuentas de servicio: los atacantes escanean el AD en busca de cuentas de usuario con SPN asociados, que indican cuentas de servicio.
  2. Solicitud de tickets TGS: utilizando las credenciales de un usuario legítimo, los atacantes solicitan tickets TGS del controlador de dominio de AD para aquellos identificados cuentas de servicio.
  3. Extracción y descifrado de los tickets: luego, el atacante extrae la parte cifrada de los tickets de TGS y utiliza fuerza bruta fuera de línea o herramientas de descifrado de contraseñas para descubrir la contraseña de la cuenta de servicio.

Por qué es eficaz

Kerberoasting es particularmente efectivo porque puede realizarse con privilegios de usuario estándar y sin activar alertas que podrían estar asociadas con otras formas de ataque, como intentos directos de fuerza bruta de contraseña contra la red. Además, la naturaleza fuera de línea del esfuerzo de descifrado de contraseñas evade los mecanismos de detección que las redes suelen emplear para identificar actividades sospechosas, como múltiples intentos fallidos de inicio de sesión.

Este ataque subraya una vulnerabilidad crítica en la implementación del protocolo Kerberos dentro de los entornos Windows AD: la dependencia del secreto y la solidez de las contraseñas de las cuentas de servicio. Dada la naturaleza silenciosa y sigilosa del Kerberoasting, representa una amenaza significativa para las organizaciones, ya que permite a los atacantes obtener acceso a servicios y datos confidenciales.

El panorama de amenazas

En las redes organizacionales, los ataques Kerberoasting son comunes y exitosos, lo que ilustra una vulnerabilidad crítica en la ciberseguridad. A medida que los atacantes perfeccionan sus metodologías, Kerberoasting sigue siendo un exploit atractivo debido a su combinación de sigilo y eficacia. Es vital comprender cómo opera esta amenaza para diseñar defensas que sean capaces de resistir su complejidad.

Prevalencia de ataques Kerberoasting

Kerberoasting se ha convertido en un método de ataque común, en parte debido a la ubicuidad de Windows Active Directory (AD) en entornos corporativos y la relativa simplicidad de ejecutar el ataque. Herramientas como el módulo Invoke-Kerberoast de PowerSploit o Rubeus hacen que estos ataques sean accesibles incluso para atacantes técnicamente menos sofisticados. Los incidentes del mundo real, incluidas violaciones notables atribuidas a actores y grupos criminales patrocinados por el estado, resaltan la amenaza constante que representa el Kerberoasting.

Factores que contribuyen al éxito de Kerberoasting

  • Políticas de contraseñas débiles: las cuentas de servicio a menudo tienen contraseñas débiles o predeterminadas que rara vez se modifican, lo que las convierte en objetivos principales para Kerberoasting.
  • Falta de visibilidad y monitoreo: muchas organizaciones carecen de la visibilidad necesaria en su entorno de AD para detectar los primeros signos de un ataque Kerberoasting.
  • Mala configuración y cuentas con privilegios excesivos: las cuentas de servicio configuradas incorrectamente y aquellas con privilegios innecesarios amplían la superficie de ataque para Kerberoasting.
  • Sigilo: los ataques Kerberoasting son difíciles de detectar porque no requieren privilegios elevados y se pueden realizar sin desencadenar múltiples intentos fallidos de autenticación, que comúnmente se monitorean.

Ejemplos de ataques Kerberoasting

Los ataques Kerberoasting han sido parte de algunos de los ataques cibernéticos más sofisticados observados en los últimos años, lo que demuestra lo mucho que está en juego cuando las organizaciones no logran asegurar sus Active Directory (AD) ambientes adecuadamente.

Operación Wocao

En un ejemplo notable, los actores de amenazas detrás de la Operación Wocao utilizaron el módulo Invoke-Kerberoast del marco PowerSploit para realizar ataques Kerberoast. Esta operación mostró la capacidad de los atacantes para solicitar tickets de servicio cifrados y posteriormente descifrar las contraseñas de las cuentas de servicio de Windows sin conexión.

Las cuentas violadas se utilizaron luego para movimiento lateral dentro de las redes, lo que permite una mayor explotación y acceso a información sensible. Este incidente subraya la eficacia de Kerberoasting en campañas de amenazas persistentes avanzadas (APT), destacando la importancia de proteger las cuentas de servicio contra tales ataques (MITRE ATT & CK)​.

Compromiso de vientos solares

Otro caso significativo fue el del Violación de SolarWinds, donde los atacantes aprovecharon Kerberoasting, entre otras técnicas, para obtener acceso a las redes. En este caso, los atacantes obtuvieron tickets del Servicio de concesión de tickets (TGS) para Active Directory Nombres principales de servicio (SPN) y los descifró fuera de línea para aumentar sus privilegios de acceso.

Este compromiso no solo destacó la vulnerabilidad de las cuentas de servicio al Kerberoasting, sino también el potencial de implicaciones de amplio alcance, ya que la infracción afectó a numerosas organizaciones y agencias gubernamentales de alto perfil (MITRE ATT & CK)​.

Uso de Kerberoasting por parte de Wizard Spider

Se ha informado que el grupo criminal conocido como Wizard Spider utiliza Kerberoasting como parte de su arsenal. Emplearon herramientas como Rubeus y Mimikatz para robar hashes AES y credenciales de cuentas de servicio a través de Kerberoasting. Esta técnica les permitió mantener el acceso y el control sobre las redes comprometidas, facilitando el despliegue de ransomware y otras cargas útiles maliciosas. Las actividades de Wizard Spider ejemplifican la explotación criminal de Kerberoasting, subrayando el riesgo para las organizaciones en todos los sectores (MITRE ATT & CK)​.

Estos ejemplos de ataques Kerberoasting ilustran la necesidad crítica de que las organizaciones monitoreen y protejan activamente sus entornos AD. La sofisticación y diversidad de los atacantes que aprovechan esta técnica, desde grupos APT patrocinados por el estado hasta colectivos criminales, subrayan la importancia de medidas de seguridad sólidas, incluidas políticas de contraseñas sólidas, auditorías periódicas de las cuentas de servicio y la implementación de mecanismos de detección para identificar actividades sospechosas indicativas. de intentos de Kerberoasting.

Detectar y prevenir Kerberoasting

Para detectar y prevenir Kerberoasting, que explota características legítimas del protocolo de autenticación Kerberos con fines maliciosos, se requiere un enfoque multifacético.

Las organizaciones pueden reducir significativamente su vulnerabilidad al Kerberoasting mediante una planificación estratégica, protocolos de seguridad sólidos y un monitoreo continuo.

Mejores prácticas para la prevención

  • Aproveche la identidad basada en Seguridad de Confianza Cero políticas: Al implementar un modelo de seguridad Zero Trust, puede garantizar que ninguna entidad dentro de la red sea de confianza de forma predeterminada, independientemente de su ubicación dentro del perímetro. Este principio se aplica tanto a usuarios humanos como a cuentas de servicio, y al requerir verificación en cada intento de acceso, puede reducir la superficie de ataque disponible para los adversarios, incluidos aquellos que intentan Kerberoasting.
  • Implementar políticas de contraseñas seguras: Aplique contraseñas complejas, largas (idealmente más de 25 caracteres) y que se cambien periódicamente para todas las cuentas, especialmente las cuentas de servicio con nombres principales de servicio (SPN). El uso de herramientas como administradores de contraseñas y cuentas de servicio administradas de grupo (gMSA) puede ayudar a mantener una higiene sólida de las contraseñas sin sacrificar la eficiencia operativa.
  • Habilitar Autenticación de múltiples factores (MFA): Agregar una capa adicional de seguridad a través de MFA puede reducir significativamente el riesgo de acceso no autorizado, incluso si las credenciales de la cuenta de servicio se ven comprometidas. MFA Debería ser estándar para todas las cuentas de usuario, no sólo para aquellas con privilegios elevados.
  • Adherirse al Principio de Privilegios mínimos (PoLP): asegúrese de que las cuentas, especialmente las cuentas de servicio, tengan solo los permisos necesarios para sus funciones. Limitar los derechos de acceso minimiza el daño potencial que un atacante puede causar si compromete una cuenta.
  • Desarrollar una estrategia integral de seguridad de la identidad: Un robusto Gestión de identidad y acceso. framework puede proteger contra diversas amenazas, incluido Kerberoasting. Esta estrategia debería incluir auditorías periódicas de las cuentas de servicios, gestión de acceso privilegiado (PAM) y la adopción de soluciones de seguridad que brindan visibilidad y control sobre el uso de la cuenta.

Técnicas para detectar Kerberoasting

  • Monitorear actividad anómala de Kerberos: Implemente el registro y la supervisión para detectar patrones inusuales de solicitudes de autenticación Kerberos, como un gran volumen de solicitudes TGS para SPN en un corto período de tiempo.
  • Uso de la cuenta del servicio de auditoría: revise periódicamente la actividad de la cuenta de servicio en busca de signos de uso no autorizado, como acceso a servicios o datos fuera de los patrones normales. Esta revisión puede ayudar a identificar cuentas comprometidas antes de que se utilicen para movimiento lateral o exfiltración de datos.
  • Aproveche el análisis de seguridad avanzado: El uso del aprendizaje automático y el análisis de comportamiento puede ayudar a identificar signos sutiles de Kerberoasting, distinguiendo entre el uso legítimo de la cuenta de servicio y la actividad potencialmente maliciosa.

Volver al glosario