Kerberoasting เป็นวิธีการโจมตีที่ซับซ้อนซึ่งใช้ประโยชน์จากโปรโตคอลการตรวจสอบสิทธิ์ Kerberos ที่รวมอยู่ในนั้น Active Directory (ค.ศ.) Kerberos ได้รับการออกแบบมาเพื่ออำนวยความสะดวกในการตรวจสอบความปลอดภัยบนเครือข่ายที่อาจไม่ปลอดภัย และกลายเป็นผู้สมรู้ร่วมคิดในการโจมตีเหล่านี้โดยไม่รู้ตัว โดยให้ประตูหลังที่ผู้โจมตีสามารถเข้าถึงระบบและข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
Kerberoasting กำหนดเป้าหมายโดยเฉพาะ บัญชีบริการ ภายในสภาพแวดล้อม AD โดยใช้ประโยชน์จากข้อเท็จจริงที่ว่าผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถขอตั๋ว Ticket Granting Service (TGS) สำหรับบริการใดๆ ได้
ผู้โจมตีใช้ประโยชน์จากฟังก์ชันนี้เพื่อขอตั๋ว TGS ที่เกี่ยวข้องกับ Service Principal Names (SPN) จากนั้นทำงานแบบออฟไลน์เพื่อถอดรหัสตั๋วที่เข้ารหัสและแยกรหัสผ่านบัญชีบริการ เทคนิคนี้ช่วยให้ผู้โจมตีสามารถเลี่ยงการป้องกันเครือข่ายและเข้าถึงพื้นที่จำกัดโดยไม่ถูกตรวจพบ
ภัยคุกคามที่เกิดจาก Kerberoasting มีความสำคัญเนื่องจากลักษณะการซ่อนตัวและศักยภาพในการละเมิดที่มีผลกระทบสูง องค์กรที่ใช้ประโยชน์จาก AD สำหรับเครือข่าย การรับรอง และการอนุญาตจะต้องตระหนักถึงเวกเตอร์ภัยคุกคามนี้เพื่อใช้การป้องกันที่มีประสิทธิภาพ
การทำความเข้าใจ Kerberoasting ทั้งกลไก ผลกระทบ และกลยุทธ์การป้องกัน เป็นสิ่งสำคัญสำหรับความปลอดภัยทางไซเบอร์และผู้เชี่ยวชาญด้านไอทีที่ได้รับมอบหมายให้ปกป้องทรัพย์สินดิจิทัลขององค์กรของตน
Kerberoasting ทำงานอย่างไร
Kerberoasting ใช้ประโยชน์จากโปรโตคอลการตรวจสอบสิทธิ์ Kerberos ซึ่งเป็นลักษณะหลักของ Active Directory (ค.ศ. ) ใช้สำหรับตรวจสอบผู้ใช้และบริการในเครือข่าย การทำความเข้าใจการโจมตีนี้จำเป็นต้องเข้าใจพื้นฐานของ Kerberos เอง ซึ่งทำงานบนกลไกตามตั๋วเพื่อให้แน่ใจว่าการสื่อสารที่ปลอดภัยผ่านเครือข่าย
โปรโตคอลการตรวจสอบสิทธิ์ Kerberos
หัวใจสำคัญของ Kerberos คือ Ticket Granting Ticket (TGT) ที่ได้รับเมื่อผู้ใช้เข้าสู่ระบบสำเร็จ จากนั้น TGT จะถูกใช้เพื่อขอตั๋ว Ticket Granting Service (TGS) เพื่อเข้าถึงบริการเครือข่ายต่างๆ บริการเหล่านี้ระบุด้วยชื่อบริการหลัก (SPN) มันเป็นระบบที่ออกแบบมาเพื่อความปลอดภัย แต่สถาปัตยกรรมของมันเปิดประตูสู่การแสวงหาประโยชน์โดยไม่ได้ตั้งใจ
เวกเตอร์การโจมตี
Kerberoasting ใช้ประโยชน์จากข้อเท็จจริงที่ว่าผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ภายในโดเมนสามารถขอตั๋ว TGS สำหรับบริการใดๆ ที่กำหนดไว้ภายใต้ SPN ผู้โจมตีจะขอตั๋ว TGS สำหรับบริการต่างๆ โดยปลอมตัวเป็นผู้ใช้ที่ถูกต้องตามกฎหมาย ซึ่งจะถูกเข้ารหัสโดยใช้รหัสผ่านของบัญชีบริการ การโจมตีนี้ขึ้นอยู่กับความสามารถของผู้โจมตีในการทำให้ Ticket ที่เข้ารหัสเหล่านี้ออฟไลน์ และพยายามถอดรหัสเพื่อเปิดเผยรหัสผ่านของบัญชีบริการ
กระบวนการนี้เกี่ยวข้องกับขั้นตอนต่อไปนี้:
- การสแกนหาบัญชีบริการ: ผู้โจมตีสแกนโฆษณาเพื่อหา บัญชีผู้ใช้ ด้วย SPN ที่เกี่ยวข้อง ซึ่งระบุบัญชีบริการ
- การร้องขอตั๋ว TGS: การใช้ข้อมูลประจำตัวของผู้ใช้ที่ถูกกฎหมาย ผู้โจมตีจะร้องขอตั๋ว TGS จากตัวควบคุมโดเมน AD สำหรับผู้ที่ระบุ บัญชีบริการ.
- แตกไฟล์และถอดรหัสตั๋ว: จากนั้นผู้โจมตีจะแยกส่วนที่เข้ารหัสของตั๋ว TGS และใช้เครื่องมือแบบ Brute Force หรือรหัสผ่านแบบออฟไลน์เพื่อค้นหารหัสผ่านของบัญชีบริการ
เหตุใดจึงมีประสิทธิภาพ
Kerberoasting มีประสิทธิภาพเป็นพิเศษ เนื่องจากสามารถดำเนินการได้ด้วยสิทธิ์ผู้ใช้มาตรฐาน และไม่มีการแจ้งเตือนที่อาจเกี่ยวข้องกับการโจมตีรูปแบบอื่นๆ เช่น การพยายามใช้รหัสผ่านโดยตรงกับเครือข่าย นอกจากนี้ ลักษณะการทำงานแบบออฟไลน์ของความพยายามในการถอดรหัสรหัสผ่านยังหลบเลี่ยงกลไกการตรวจจับที่เครือข่ายโดยทั่วไปใช้เพื่อระบุกิจกรรมที่น่าสงสัย เช่น การพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้ง
การโจมตีครั้งนี้เน้นย้ำถึงช่องโหว่ที่สำคัญในการใช้งานโปรโตคอล Kerberos ภายในสภาพแวดล้อม Windows AD ซึ่งก็คือการพึ่งพาการรักษาความลับและความเข้มงวดของรหัสผ่านบัญชีบริการ ด้วยลักษณะที่เงียบและซ่อนเร้นของ Kerberoasting ทำให้เกิดภัยคุกคามที่สำคัญต่อองค์กร ทำให้ผู้โจมตีสามารถเข้าถึงบริการและข้อมูลที่ละเอียดอ่อนได้
ภูมิทัศน์ภัยคุกคาม
ในเครือข่ายองค์กร การโจมตี Kerberoasting เป็นเรื่องปกติและประสบความสำเร็จ ซึ่งแสดงให้เห็นถึงช่องโหว่ที่สำคัญในความปลอดภัยทางไซเบอร์ ในขณะที่ผู้โจมตีปรับปรุงวิธีการของตน Kerberoasting ยังคงเป็นการหาประโยชน์ที่น่าสนใจ เนื่องจากการผสมผสานระหว่างการซ่อนตัวและประสิทธิผล จำเป็นอย่างยิ่งที่จะต้องเข้าใจว่าภัยคุกคามนี้ทำงานอย่างไรเพื่อคิดค้นการป้องกันที่สามารถต้านทานความซับซ้อนได้
ความชุกของการโจมตีแบบ Kerberoasting
Kerberoasting กลายเป็นวิธีโจมตีที่พบบ่อย ส่วนหนึ่งเป็นผลมาจากการแพร่หลายของ Windows Active Directory (AD) ในสภาพแวดล้อมขององค์กรและความเรียบง่ายในการโจมตี เครื่องมืออย่างโมดูล Invivo-Kerberoast ของ PowerSploit หรือ Rubeus ทำให้การโจมตีเหล่านี้สามารถเข้าถึงได้แม้กระทั่งผู้โจมตีที่เชี่ยวชาญด้านเทคนิคน้อยกว่าก็ตาม เหตุการณ์ในโลกแห่งความเป็นจริง รวมถึงการละเมิดที่โดดเด่นซึ่งเกิดจากนักแสดงและกลุ่มอาชญากรที่ได้รับการสนับสนุนจากรัฐ เน้นย้ำถึงภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องจาก Kerberoasting
ปัจจัยที่เอื้อต่อความสำเร็จของ Kerberoasting
- นโยบายรหัสผ่านที่ไม่รัดกุม: บัญชีบริการมักจะมีรหัสผ่านที่ไม่รัดกุมหรือเป็นค่าเริ่มต้นซึ่งไม่ค่อยมีการเปลี่ยนแปลง ทำให้เป็นเป้าหมายหลักสำหรับ Kerberoasting
- ขาดการมองเห็นและการตรวจสอบ: หลายองค์กรขาดการมองเห็นที่จำเป็นในสภาพแวดล้อม AD เพื่อตรวจจับสัญญาณเริ่มต้นของการโจมตี Kerberoasting
- การกำหนดค่าที่ไม่ถูกต้องและบัญชีที่มีสิทธิพิเศษมากเกินไป: บัญชีบริการที่กำหนดค่าไม่ถูกต้องและบัญชีที่มีสิทธิ์ที่ไม่จำเป็นจะขยาย พื้นผิวการโจมตี สำหรับ Kerberoasting
- การลักลอบ: การโจมตี Kerberoasting นั้นตรวจพบได้ยากเนื่องจากไม่ต้องการสิทธิ์ระดับสูง และสามารถทำได้โดยไม่ทำให้เกิดการพยายามรับรองความถูกต้องที่ล้มเหลวหลายครั้ง ซึ่งโดยทั่วไปจะมีการตรวจสอบ
ตัวอย่างของการโจมตี Kerberoasting
การโจมตีแบบ Kerberoasting เป็นส่วนหนึ่งของการโจมตีทางไซเบอร์ที่ซับซ้อนที่สุดที่พบในไม่กี่ปีที่ผ่านมา ซึ่งแสดงให้เห็นถึงความเสี่ยงสูงเมื่อองค์กรต่างๆ ไม่สามารถรักษาความปลอดภัยได้ Active Directory (AD) สภาพแวดล้อมอย่างเพียงพอ
ปฏิบัติการ Wocao
ในตัวอย่างหนึ่งที่โดดเด่น ผู้คุกคามที่อยู่เบื้องหลัง Operation Wocao ใช้โมดูล Invivo-Kerberoast ของเฟรมเวิร์ก PowerSploit เพื่อทำการโจมตี Kerberoasting การดำเนินการนี้แสดงให้เห็นถึงความสามารถของผู้โจมตีในการขอตั๋วบริการที่เข้ารหัส และต่อมาถอดรหัสรหัสผ่านของบัญชีบริการ Windows แบบออฟไลน์
จากนั้นบัญชีที่ถูกละเมิดก็ถูกนำมาใช้ การเคลื่อนไหวด้านข้าง ภายในเครือข่าย ช่วยให้สามารถแสวงหาประโยชน์เพิ่มเติมและเข้าถึงข้อมูลที่ละเอียดอ่อนได้ เหตุการณ์นี้ตอกย้ำประสิทธิภาพของ Kerberoasting ในแคมเปญภัยคุกคามขั้นสูงแบบถาวร (APT) โดยเน้นถึงความสำคัญของการรักษาบัญชีบริการให้ปลอดภัยจากการโจมตีดังกล่าว (MITER ATT&CK).
การประนีประนอมของ SolarWinds
อีกกรณีสำคัญที่เกี่ยวข้องกับ SolarWinds ละเมิดซึ่งผู้โจมตีใช้ประโยชน์จาก Kerberoasting ท่ามกลางเทคนิคอื่นๆ เพื่อเข้าถึงเครือข่าย ในกรณีนี้ ผู้โจมตีได้รับตั๋ว Ticket Granting Service (TGS) สำหรับ Active Directory Service Principal Names (SPN) และถอดรหัสแบบออฟไลน์เพื่อเพิ่มสิทธิ์การเข้าถึง
การประนีประนอมนี้ไม่เพียงแต่เน้นย้ำถึงช่องโหว่ของบัญชีบริการต่อ Kerberoasting แต่ยังรวมถึงศักยภาพของผลกระทบในวงกว้างด้วย เนื่องจากการละเมิดดังกล่าวส่งผลกระทบต่อองค์กรที่มีชื่อเสียงระดับสูงและหน่วยงานภาครัฐหลายแห่ง (MITER ATT&CK).
การใช้ Kerberoasting ของ Wizard Spider
กลุ่มอาชญากรที่รู้จักกันในชื่อ Wizard Spider ได้รับการรายงานว่าใช้ Kerberoasting เป็นส่วนหนึ่งของคลังแสงของพวกเขา พวกเขาใช้เครื่องมือเช่น Rubeus และ Mimikatz เพื่อขโมยแฮช AES และข้อมูลรับรองบัญชีบริการผ่าน Kerberoasting เทคนิคนี้ทำให้พวกเขาสามารถรักษาการเข้าถึงและการควบคุมเครือข่ายที่ถูกบุกรุกได้ ซึ่งอำนวยความสะดวกในการติดตั้งใช้งาน ransomware และเพย์โหลดที่เป็นอันตรายอื่นๆ กิจกรรมของ Wizard Spider เป็นตัวอย่างของการแสวงหาผลประโยชน์ทางอาญาของ Kerberoasting โดยเน้นย้ำถึงความเสี่ยงต่อองค์กรทั่วทั้งภาคส่วน (MITER ATT&CK).
ตัวอย่างของการโจมตี Kerberoasting เหล่านี้แสดงให้เห็นถึงความจำเป็นที่สำคัญสำหรับองค์กรในการตรวจสอบและรักษาความปลอดภัยสภาพแวดล้อม AD ของตนอย่างแข็งขัน ความซับซ้อนและความหลากหลายของผู้โจมตีที่ใช้เทคนิคนี้ ตั้งแต่กลุ่ม APT ที่รัฐสนับสนุนไปจนถึงกลุ่มอาชญากร เน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยที่แข็งแกร่ง รวมถึงนโยบายรหัสผ่านที่รัดกุม การตรวจสอบบัญชีบริการเป็นประจำ และการใช้กลไกการตรวจจับเพื่อระบุกิจกรรมที่น่าสงสัย ของความพยายาม Kerberoasting
การตรวจจับและการป้องกัน Kerberoasting
เพื่อตรวจจับและป้องกัน Kerberoasting ซึ่งใช้ประโยชน์จากคุณสมบัติที่ถูกต้องของโปรโตคอลการตรวจสอบสิทธิ์ Kerberos เพื่อวัตถุประสงค์ที่เป็นอันตราย จำเป็นต้องมีแนวทางที่หลากหลาย
องค์กรสามารถลดความเสี่ยงต่อ Kerberoasting ได้อย่างมากผ่านการวางแผนเชิงกลยุทธ์ โปรโตคอลความปลอดภัยที่แข็งแกร่ง และการตรวจสอบอย่างต่อเนื่อง
แนวทางปฏิบัติที่ดีที่สุดสำหรับการป้องกัน
- ใช้ประโยชน์จากข้อมูลประจำตัว การรักษาความปลอดภัยแบบ Zero Trust นโยบาย: ด้วยการใช้โมเดลความปลอดภัย Zero Trust คุณจะมั่นใจได้ว่าไม่มีเอนทิตีใดภายในเครือข่ายที่ได้รับความเชื่อถือตามค่าเริ่มต้น โดยไม่คำนึงถึงตำแหน่งภายในขอบเขต หลักการนี้ใช้ได้กับทั้งผู้ใช้ที่เป็นมนุษย์และบัญชีบริการ และด้วยการกำหนดให้มีการตรวจสอบทุกครั้งที่พยายามเข้าถึง คุณสามารถลดพื้นที่การโจมตีที่ฝ่ายตรงข้ามสามารถใช้ได้ รวมถึงผู้ที่พยายามใช้ Kerberoasting ด้วย
- ใช้นโยบายรหัสผ่านที่รัดกุม: บังคับใช้รหัสผ่านที่ซับซ้อน ยาว (ควรมีความยาว 25 อักขระขึ้นไป) และเปลี่ยนรหัสผ่านเป็นประจำสำหรับทุกบัญชี โดยเฉพาะบัญชีบริการที่มี Service Principal Names (SPN) การใช้เครื่องมือเช่นผู้จัดการรหัสผ่านและบัญชีบริการที่ได้รับการจัดการกลุ่ม (gMSA) สามารถช่วยรักษาสุขอนามัยของรหัสผ่านที่แข็งแกร่งโดยไม่ทำให้ประสิทธิภาพในการดำเนินงานลดลง
- ทำให้สามารถ การรับรองความถูกต้องหลายปัจจัย (MFA): การเพิ่มชั้นการรักษาความปลอดภัยพิเศษผ่าน MFA สามารถลดความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างมาก แม้ว่าข้อมูลประจำตัวบัญชีบริการจะถูกบุกรุกก็ตาม MFA ได้ทุกที่ ควรเป็นมาตรฐานสำหรับบัญชีผู้ใช้ทั้งหมด ไม่ใช่เฉพาะบัญชีผู้ใช้ที่มีสิทธิ์ระดับสูงเท่านั้น
- ยึดหลักปณิธานว่า. สิทธิพิเศษน้อยที่สุด (PoLP): ตรวจสอบให้แน่ใจว่าบัญชี โดยเฉพาะบัญชีบริการ มีสิทธิ์ที่จำเป็นสำหรับการทำงานเท่านั้น การจำกัดสิทธิ์การเข้าถึงจะช่วยลดความเสียหายที่อาจเกิดขึ้นที่ผู้โจมตีสามารถทำได้หากพวกเขาบุกรุกบัญชี
- พัฒนากลยุทธ์การรักษาความปลอดภัยของข้อมูลประจำตัวที่ครอบคลุม: มีความแข็งแกร่ง การระบุตัวตนและการจัดการการเข้าถึง Framework สามารถป้องกันภัยคุกคามต่างๆ ได้ รวมถึง Kerberoasting กลยุทธ์นี้ควรรวมถึงการตรวจสอบบัญชีบริการเป็นประจำ การจัดการการเข้าถึงแบบมีสิทธิพิเศษ (PAM) และการใช้โซลูชั่นรักษาความปลอดภัยที่ให้การมองเห็นและควบคุมการใช้บัญชี
เทคนิคการตรวจจับ Kerberoasting
- ตรวจสอบกิจกรรม Kerberos ที่ผิดปกติ: ใช้การบันทึกและการตรวจสอบเพื่อตรวจจับรูปแบบที่ผิดปกติของคำขอตรวจสอบสิทธิ์ Kerberos เช่น คำขอ TGS สำหรับ SPN ในปริมาณมากภายในกรอบเวลาอันสั้น
- ตรวจสอบการใช้บัญชีบริการ: ตรวจสอบกิจกรรมบัญชีบริการเป็นประจำเพื่อหาสัญญาณของการใช้งานที่ไม่ได้รับอนุญาต เช่น การเข้าถึงบริการหรือข้อมูลที่อยู่นอกรูปแบบปกติ การทบทวนนี้สามารถช่วยระบุได้ บัญชีที่ถูกบุกรุก ก่อนที่จะใช้สำหรับการเคลื่อนไหวด้านข้างหรือการกรองข้อมูล
- ใช้ประโยชน์จากการวิเคราะห์ความปลอดภัยขั้นสูง: การใช้การเรียนรู้ของเครื่องและการวิเคราะห์พฤติกรรมสามารถช่วยระบุสัญญาณเล็กๆ น้อยๆ ของ Kerberoasting ได้ โดยแยกความแตกต่างระหว่างการใช้บัญชีบริการที่ถูกกฎหมายและกิจกรรมที่อาจเป็นอันตราย