Kerberoasting é um método de ataque sofisticado que explora o protocolo de autenticação Kerberos integral para Active Directory (DE ANÚNCIOS). Kerberos foi projetado para facilitar a autenticação segura em redes potencialmente inseguras e se torna um cúmplice involuntário desses ataques, fornecendo um backdoor através do qual os invasores podem obter acesso não autorizado a sistemas e dados confidenciais.
Kerberoasting visa especificamente contas de serviço dentro de um ambiente AD, explorando o fato de que qualquer usuário autenticado pode solicitar tickets do Ticket Granting Service (TGS) para qualquer serviço.
Os invasores aproveitam essa funcionalidade para solicitar tickets TGS associados a nomes principais de serviço (SPNs) e, em seguida, trabalhar offline para quebrar os tickets criptografados e extrair senhas de contas de serviço. Essa técnica permite que invasores contornem as defesas da rede e obtenham acesso a áreas restritas sem serem detectados.
A ameaça representada pelo Kerberoasting é significativa devido à sua natureza furtiva e ao potencial para violações de alto impacto. Organizações que utilizam AD para rede autenticação e a autorização deve estar ciente deste vetor de ameaça para implementar defesas eficazes.
Compreender o Kerberoasting — seus mecanismos, implicações e estratégias de prevenção — é crucial para profissionais de segurança cibernética e de TI encarregados de defender os ativos digitais de suas organizações.
Como funciona o Kerberoasting
Kerberoasting explora o protocolo de autenticação Kerberos, que é um aspecto central do Active Directory (AD) usado para autenticar usuários e serviços em uma rede. Compreender este ataque requer uma compreensão básica do próprio Kerberos, que opera num mecanismo baseado em bilhetes para garantir comunicações seguras através de uma rede.
O protocolo de autenticação Kerberos
No coração do Kerberos está o Ticket Granting Ticket (TGT), obtido após o login bem-sucedido do usuário. O TGT é então usado para solicitar tickets do Ticket Granting Service (TGS) para acessar vários serviços de rede. Esses serviços são identificados por seus nomes principais de serviço (SPNs). É um sistema projetado para segurança, mas sua arquitetura abre inadvertidamente uma porta para exploração.
O vetor de ataque
Kerberoasting aproveita o fato de que qualquer usuário autenticado dentro de um domínio pode solicitar tickets TGS para qualquer serviço definido em um SPN. Ao se passar por um usuário legítimo, um invasor solicita tickets TGS para serviços, que são criptografados usando a senha da conta de serviço. Esse ataque depende da capacidade do invasor de colocar off-line esses tickets criptografados e tentar quebrá-los para revelar a senha da conta de serviço.
Este processo envolve as seguintes etapas:
- Varredura de contas de serviço: os invasores examinam o AD em busca de contas de usuário com SPNs associados, que indicam contas de serviço.
- Solicitação de tickets TGS: usando as credenciais de um usuário legítimo, os invasores solicitam tickets TGS do controlador de domínio do AD para aqueles identificados contas de serviço.
- Extraindo e quebrando os tickets: O invasor então extrai a parte criptografada dos tickets do TGS e usa força bruta offline ou ferramentas de quebra de senha para descobrir a senha da conta de serviço.
Por que é eficaz
Kerberoasting é particularmente eficaz porque pode ser conduzido com privilégios de usuário padrão e sem disparar alertas que possam estar associados a outras formas de ataque, como tentativas diretas de força bruta de senha contra a rede. Além disso, a natureza offline do esforço de quebra de senhas evita os mecanismos de detecção que as redes normalmente empregam para identificar atividades suspeitas, como múltiplas tentativas de login malsucedidas.
Este ataque ressalta uma vulnerabilidade crítica na implementação do protocolo Kerberos em ambientes Windows AD – a dependência do sigilo e da força das senhas das contas de serviço. Dada a natureza silenciosa e furtiva do Kerberoasting, ele representa uma ameaça significativa para as organizações, permitindo que os invasores obtenham acesso a serviços e dados confidenciais.
O cenário de ameaças
Nas redes organizacionais, os ataques Kerberoasting são comuns e bem-sucedidos, ilustrando uma vulnerabilidade crítica na segurança cibernética. À medida que os invasores refinam suas metodologias, o Kerberoasting continua sendo uma exploração atraente devido à sua combinação de furtividade e eficácia. É vital compreender como funciona esta ameaça para conceber defesas que sejam capazes de resistir à sua complexidade.
Prevalência de ataques Kerberoasting
Kerberoasting tornou-se um método de ataque comum, em parte devido à onipresença do Windows Active Directory (AD) em ambientes corporativos e a relativa simplicidade de execução do ataque. Ferramentas como o módulo Invoke-Kerberoast do PowerSploit ou Rubeus tornam esses ataques acessíveis até mesmo para invasores menos sofisticados tecnicamente. Incidentes do mundo real, incluindo violações notáveis atribuídas a intervenientes patrocinados pelo Estado e grupos criminosos, destacam a ameaça contínua representada pelo Kerberoasting.
Fatores que contribuem para o sucesso do Kerberoasting
- Políticas de senhas fracas: as contas de serviço geralmente têm senhas fracas ou padrão que raramente são alteradas, o que as torna os principais alvos do Kerberoasting.
- Falta de visibilidade e monitoramento: muitas organizações não têm a visibilidade necessária em seu ambiente AD para detectar os primeiros sinais de um ataque Kerberoasting.
- Configuração incorreta e contas com privilégios excessivos: contas de serviço configuradas incorretamente e aquelas com privilégios desnecessários expandem o superfície de ataque para Kerberoasting.
- Furtividade: os ataques Kerberoasting são difíceis de detectar porque não exigem privilégios elevados e podem ser executados sem desencadear várias tentativas de autenticação com falha, que são comumente monitoradas.
Exemplos de ataques Kerberoasting
Os ataques Kerberoasting têm feito parte de alguns dos ataques cibernéticos mais sofisticados observados nos últimos anos, demonstrando os altos riscos envolvidos quando as organizações não conseguem proteger seus Active Directory (AD) ambientes adequadamente.
Operação Wocao
Em um exemplo notável, os agentes de ameaças por trás da Operação Wocao utilizaram o módulo Invoke-Kerberoast da estrutura PowerSploit para realizar ataques Kerberoasting. Esta operação demonstrou a capacidade dos invasores de solicitar tíquetes de serviço criptografados e, posteriormente, quebrar as senhas das contas de serviço do Windows offline.
As contas violadas foram então usadas para movimento lateral dentro das redes, permitindo maior exploração e acesso a informações confidenciais. Este incidente sublinha a eficácia do Kerberoasting em campanhas avançadas de ameaças persistentes (APT), destacando a importância de proteger as contas de serviço contra tais ataques (MITER ATT & CK).
Compromisso SolarWinds
Outro caso significativo envolveu o Violação da SolarWinds, onde os invasores aproveitaram o Kerberoasting, entre outras técnicas, para obter acesso às redes. Neste caso, os invasores obtiveram tickets do Ticket Granting Service (TGS) para Active Directory Nomes principais de serviço (SPNs) e quebrá-los offline para aumentar seus privilégios de acesso.
Este compromisso não apenas destacou a vulnerabilidade das contas de serviço ao Kerberoasting, mas também o potencial para implicações de amplo alcance, já que a violação impactou inúmeras organizações de alto perfil e agências governamentais (MITER ATT & CK).
Uso de Kerberoasting pelo Wizard Spider
Foi relatado que o grupo criminoso conhecido como Wizard Spider usa Kerberoasting como parte de seu arsenal. Eles empregaram ferramentas como Rubeus e Mimikatz para roubar hashes AES e credenciais de contas de serviço por meio de Kerberoasting. Esta técnica permitiu-lhes manter o acesso e o controle sobre as redes comprometidas, facilitando a implantação de ransomware e outras cargas maliciosas. As atividades da Wizard Spider exemplificam a exploração criminosa do Kerberoasting, ressaltando o risco para organizações de todos os setores (MITER ATT & CK).
Esses exemplos de ataques Kerberoasting ilustram a necessidade crítica das organizações monitorarem e protegerem ativamente seus ambientes AD. A sofisticação e a diversidade dos atacantes que utilizam esta técnica – desde grupos APT patrocinados pelo Estado até colectivos criminosos – sublinham a importância de medidas de segurança robustas, incluindo políticas de palavras-passe fortes, auditoria regular de contas de serviço e a implementação de mecanismos de detecção para identificar actividades suspeitas indicativas. de tentativas de Kerberoasting.
Detectando e Prevenindo Kerberoasting
Para detectar e prevenir o Kerberoasting, que explora recursos legítimos do protocolo de autenticação Kerberos para fins maliciosos, é necessária uma abordagem multifacetada.
As organizações podem reduzir significativamente a sua vulnerabilidade ao Kerberoasting através de planeamento estratégico, protocolos de segurança robustos e monitorização contínua.
Melhores práticas de prevenção
- Aproveite o baseado em identidade Segurança de confiança zero políticas: Ao implementar um modelo de segurança Zero Trust, você pode garantir que nenhuma entidade na rede seja confiável por padrão, independentemente de sua localização dentro do perímetro. Este princípio se aplica tanto a usuários humanos quanto a contas de serviço e, ao exigir verificação em cada tentativa de acesso, você pode reduzir a superfície de ataque disponível para adversários, incluindo aqueles que tentam Kerberoasting.
- Implementar políticas de senhas fortes: aplique senhas complexas, longas (de preferência com mais de 25 caracteres) e alteradas regularmente para todas as contas, especialmente contas de serviço com SPNs (nomes principais de serviço). A utilização de ferramentas como gerenciadores de senhas e contas de serviço gerenciadas por grupo (gMSAs) pode ajudar a manter uma higiene de senha forte sem sacrificar a eficiência operacional.
- permitir Autenticação multi-fator (MFA): Adicionar uma camada extra de segurança por meio do MFA pode reduzir significativamente o risco de acesso não autorizado, mesmo que as credenciais da conta de serviço sejam comprometidas. MFA deve ser padrão para todas as contas de usuário, não apenas para aquelas com privilégios elevados.
- Aderir ao Princípio de Ultimo privilégio (PoLP): Garanta que as contas, especialmente as contas de serviço, tenham apenas as permissões necessárias para suas funções. Limitar os direitos de acesso minimiza o dano potencial que um invasor pode causar se comprometer uma conta.
- Desenvolva uma estratégia abrangente de segurança de identidade: Um robusto gerenciamento de identidade e acesso estrutura pode proteger contra várias ameaças, incluindo Kerberoasting. Esta estratégia deverá incluir auditorias regulares às contas dos serviços, gerenciamento de acesso privilegiado (PAM) e a adoção de soluções de segurança que proporcionam visibilidade e controle sobre o uso da conta.
Técnicas para detectar Kerberoasting
- Monitorar atividades anômalas do Kerberos: implemente o registro em log e o monitoramento para detectar padrões incomuns de solicitações de autenticação Kerberos, como um grande volume de solicitações TGS para SPNs em um curto período de tempo.
- Uso da conta de serviço de auditoria: analise regularmente a atividade da conta de serviço em busca de sinais de uso não autorizado, como acesso a serviços ou dados fora dos padrões normais. Esta revisão pode ajudar a identificar contas comprometidas antes de serem usados para movimentação lateral ou exfiltração de dados.
- Aproveite a análise de segurança avançada: utilizar o aprendizado de máquina e a análise de comportamento pode ajudar a identificar sinais sutis de Kerberoasting, distinguindo entre o uso legítimo de contas de serviço e atividades potencialmente maliciosas.