Ce este Kerberoasting și ar trebui să vă faceți griji pentru el?

Biletele Kerberos fac internetul mai sigur, oferind un mijloc pentru computere și servere dintr-o rețea de a transmite date fără a fi nevoie să-și verifice identitățile la fiecare pas. Cu toate acestea, acest rol de autentificator unic, deși temporar, face ca biletele Kerberos să fie atractive pentru atacatorii care își pot sparge criptarea.

Ce sunt biletele Kerberos?

Dacă crezi că „Kerberos” sună familiar, ai dreptate. Este numele grecesc al câinelui lui Hades (altfel cunoscut sub numele de „Cerberus”). Dar Kerberos nu este un câine popor; are mai multe capete și păzește porțile lumii interlope. Kerberos îi împiedică pe morți să plece și oprește personajele tulburate să-și scoată pe cei dragi din viața sumbră de apoi. În acest fel, vă puteți gândi la câine ca la un autentificator care împiedică accesul neautorizat.

Kerberos este un protocol de autentificare a rețelei care utilizează chei criptografice pentru verificarea comunicațiilor dintre clienți (calculatoare personale) și servere din rețelele de calculatoare. Kerberos a fost creat de Institutul de Tehnologie din Massachusetts (MIT) ca o modalitate prin care clienții își dovedesc identitatea serverelor atunci când fac cereri de date. De asemenea, serverele folosesc bilete Kerberos pentru a dovedi că datele trimise sunt autentice, din sursa dorită și nu au fost corupte.

Biletele Kerberos sunt practic certificate emise clienților de către o terță parte de încredere (numită centru de distribuție a cheilor - pe scurt KDC). Clienții prezintă acest certificat, împreună cu o cheie unică de sesiune, unui server atunci când inițiază o solicitare de date. Prezentarea și autentificarea biletului stabilește încredere între client și server, astfel încât nu este nevoie să verificați fiecare cerere sau comandă.

Cum funcționează biletele Kerberos?

Biletele Kerberos autentifică accesul utilizatorilor la servicii. De asemenea, ajută serverele să compartimenteze accesul în cazurile în care există mai mulți utilizatori care accesează același serviciu. În acest fel, cererile nu se scurg unele în altele, iar persoanele neautorizate nu pot accesa datele limitate la utilizatori privilegiați.

De exemplu, Microsoft folosește Kerberos protocol de autentificare atunci când utilizatorii accesează serverele Windows sau sistemele de operare pentru PC. Deci, atunci când vă conectați la computer după o pornire, sistemul de operare folosește bilete Kerberos pentru a vă autentifica amprenta sau parola.

Computerul dvs. stochează temporar biletul în memoria de proces LSASS (Local Security Authority Subsystem Service) pentru acea sesiune. De acolo încolo, sistemul de operare folosește biletul din cache pentru autentificări cu conectare unică, astfel încât nu trebuie să furnizați datele biometrice sau parola de fiecare dată când trebuie să faceți ceva care necesită privilegii administrative.

La o scară mai mare, biletele Kerberos sunt folosite pentru a proteja comunicațiile de rețea pe internet. Aceasta include lucruri precum criptarea HTTPS și verificarea numelui de utilizator-parolă la conectare. Fără Kerberos, comunicațiile de rețea ar fi vulnerabile la atacuri precum falsificare cerere pe mai multe site-uri (CSRF) și hack-uri de om-in-the-middle.

Ce este Kerberoasting exact?

Kerberoasting este o metodă de atac prin care infractorii cibernetici fură bilete Kerberos de pe servere și încearcă să extragă hash-uri de parole în text simplu. În esență, acest atac este inginerie socială, furtul de acreditări, și atacul cu forță brută, toate reunite într-unul singur. Primul și al doilea pas implică atacatorul uzurparea identității unui client și solicitarea de bilete Kerberos de la un server.

Desigur, biletul este criptat. Cu toate acestea, obținerea biletului rezolvă una dintre cele două provocări pentru hacker. Odată ce au biletul Kerberos de pe server, următoarea provocare este decriptarea lui prin orice mijloace necesare. Hackerii care dețin bilete Kerberos vor face eforturi extreme pentru a sparge acest fișier din cauza cât de valoros este.

Cum funcționează atacurile Kerberoasting?

Kerberoasting exploatează două greșeli de securitate obișnuite în directoarele active — utilizarea parolelor scurte și slabe și securizarea fișierelor cu o criptare slabă. Atacul începe cu un hacker care folosește un cont de utilizator pentru a solicita un bilet Kerberos de la un KDC.

KDC emite apoi un bilet criptat așa cum era de așteptat. În loc să folosească acest bilet pentru autentificare cu un server, hackerul îl ia offline și încearcă să spargă biletul cu tehnici de forță brută. Instrumentele folosite pentru a face acest lucru sunt gratuite și open-source, cum ar fi mimikatz, Hashcat și JohnTheRipper. Atacul poate fi automatizat și cu instrumente precum invoke-kerberoast și Rubeus.

Un atac de kerberoasting reușit va extrage parolele text simplu din bilet. Atacatorul o poate folosi apoi pentru a autentifica cererile către un server de la un cont de utilizator compromis. Mai rău, atacatorul poate folosi accesul neautorizat nou găsit pentru a fura date, mutați lateral în directorul activși configurați conturi simulate cu privilegii de administrator.

Ar trebui să vă faceți griji pentru Kerberoasting?

Kerberoasting este un atac popular asupra directoarelor active și ar trebui să vă faceți griji dacă sunteți administrator de domeniu sau operator de echipă albastră. Nu există o configurație implicită de domeniu pentru a detecta acest atac. Majoritatea se întâmplă offline. Dacă ați fost victima acestui lucru, cel mai probabil veți ști după fapt.

Vă puteți reduce expunerea, asigurându-vă că toată lumea din rețea utilizează parole lungi compuse din caractere și simboluri alfanumerice aleatorii. În plus, ar trebui să utilizați criptarea avansată și să configurați alerte pentru solicitările neobișnuite de la utilizatorii domeniului. De asemenea, va trebui să vă protejați de ingineria socială pentru a preveni încălcările de securitate care pornesc Kerberoating în primul rând.