Kerberoasting is een vorm van cyberaanval die gericht is op serviceaccounts die het Kerberos-authenticatieprotocol gebruiken. Aanvallers misbruiken het authenticatieprotocol om wachtwoordhashes te extraheren en de platte tekstwachtwoorden te kraken die aan het account zijn gekoppeld. Deze aanvallen komen vaak voor, omdat ze moeilijk op te merken of te beperken zijn. Zonder het implementeren van detectie- en preventietechnieken wordt Kerberoasting een serieuze bedreiging, omdat het cybercriminelen in staat stelt om privileged accounts te compromitteren en mogelijk autorisatie in te stellen voor toekomstige toegang.
Lees verder voor meer informatie over kerberoasting-aanvallen en hoe u uw accounts ertegen kunt beschermen.
Wat is Kerberos?
Voordat u begrijpt wat kerberoasting-aanvallen zijn, moet u eerst inzicht krijgen in wat Kerberos is en hoe het werkt. Kerberos is een computernetwerkauthenticatieprotocol dat is ontworpen om de geldigheid van gebruikers te bevestigen via een dienst voor ticketuitgifte (TGS). Dit systeem bestaat uit drie belangrijke factoren: de client, de server en een sleuteldistributiecentrum (KDC).
Kerberos is een veelgebruikt, ingebouwd protocol in Windows Active Directory (AD)-omgevingen. Het wordt ook gebruikt in andere populaire besturingssystemen zoals Apple macOS, Linux en FreeBSD.
Hoe werken kerberoasting-aanvallen?
Inzicht in het interne proces van kerberoasting-aanvallen is cruciaal bij het toepassen van preventietechnieken. Dit zijn de gebruikelijke stappen die een aanvaller neemt om serviceaccounts te infiltreren.
1. Een account in gevaar brengen
Het eerste wat de aanvaller doet, is zich richten op een zwak serviceaccount dat is gekoppeld aan een Service Principal Name (SPN). Dit is een unieke identificatie waarmee gebruikers toegang krijgen tot een specifiek account. Aanvallers gaan specifiek op zoek naar SPN’s, omdat Kerberos-authenticatie de SPN strikt gebruikt om de dienst aan de klant te vergemakkelijken.
2. Meerdere tickets aanvragen
De aanvaller gebruikt vervolgens het gecompromitteerde account en doet zich voor als de accountgebruiker om meerdere tickets aan te vragen bij het Key Distribution Center (KDC), een domein dat controleert wie toegang heeft tot een netwerk.
3. Het wachtwoord en brute force-aanval ontsleutelen
Zodra de aanvaller een ticket heeft ontvangen van de dienst voor ticketuitgifte (TGS), gebruiken ze dit en gebruiken ze verschillende offline tools en technieken om het wachtwoord te ontsleutelen. Brute force-aanvalstechnieken worden vaak gebruikt om de wachtwoordhash te kraken. Bij deze methode worden tal van wachtwoordcombinaties ingevoerd totdat de juiste wachtwoordcombinatie wordt ontdekt.
4. Volledige toegang tot de server krijgen
Nadat een aanvaller het account heeft ingevoerd, hebben ze toegang tot alle netwerken, bronnen, informatie en gegevens. In de meeste gevallen verlenen aanvallers zichzelf hogere accountprivileges waar ze toegang hebben tot meer gevoelige gegevens, kwaadaardige acties kunnen uitvoeren en achterdeurtjes kunnen instellen voor toekomstige toegang.
Zo detecteert u kerberoasting
Het zo vroeg mogelijk detecteren van kerberoasting-aanvallen kan de schade minimaliseren. Dit zijn twee tekenen waarop u moet letten die kunnen wijzen op een kerberoasting-aanval.
RC4-versleuteling
RC4-versleuteling is een van de meest voorkomende streamversleutelingen vanwege de eenvoud en snelheid. Aanvallers gebruiken meestal deze techniek om gegevens te versleutelen en brute force-aanvallen uit te voeren. Als u dus ticketverzoeken ontvangt die zijn versleuteld met een RC4-versleutelingsalgoritme, moet u eerst het gebruik van RC4 voor Kerberos-authenticatie uitschakelen.
Ongebruikelijk aantal TGS-verzoeken
Als u een ongebruikelijk aantal verzoeken voor de uitgifte van tickets krijgt, moet dit direct worden onderzocht. Een goede gewoonte is het vaststellen van een basislijn van wat een abnormaal verzoekvolume is. Dit zorgt voor een betere structuur en beveiliging in het algemeen.
Zo voorkomt u kerberoasting:
Kerberoasting-aanvallen kunnen intimiderend lijken, maar maak u geen zorgen, er zijn verschillende manieren om uzelf en uw organisatie te beschermen. Dit zijn vijf beste gewoonten om dergelijke aanvallen te voorkomen.
Sterke wachtwoorden aanmaken
Een van de eenvoudigste en meest effectieve manieren om kerberoasting te voorkomen, is het gebruik van sterke wachtwoorden, omdat wachtwoorden meestal het eerste doelwit zijn voor cyberaanvallen. Een solide fundamentele barrière maakt het moeilijker voor aanvallers en maakt uw organisatie minder kwetsbaar. Een sterk wachtwoord moet uniek, complex en lang zijn. Het gebruik van een eenvoudig wachtwoord dat persoonlijke gegevens of veelvoorkomende sequenties bevat, kan gemakkelijk te onthouden zijn, maar het wordt beschouwd als een zwak wachtwoord. Zwakke wachtwoorden kunnen gemakkelijk worden gekraakt, waardoor het risico om gehackt te worden toeneemt.
Een sterk wachtwoord moet een willekeurige combinatie van cijfers, letters en symbolen bevatten. Overweeg het gebruik van een wachtwoordmanager, een tool die is ontworpen om gecompromitteerde accounts te voorkomen door al uw wachtwoorden op één plek te genereren en veilig op te slaan.
Schakel MFA in
Multifactorauthenticatie (MFA) is een extra beveiligingslaag waarbij gebruikers extra gegevens moeten invoeren naast hun gebruikersnaam en wachtwoord. Deze extra stap om uw identiteit te bewijzen, vermindert het totale risico op een beveiligingsinbreuk. Er zijn verschillende soorten authenticatiefactoren zoals een eenmalige code, biometrische authenticatie, geografische locatie of een beveiligingsvraag. Aangezien veel mensen zwakke wachtwoorden gebruiken, is het inschakelen van MFA een extra maatregel om uw account veilig te houden.
Het principe van de minste toegangsrechten toepassen (Principle of Least Privilege of PoLP)
Het volgen van het principe van minimale privileges is een fundamenteel concept, omdat het de toegang van gebruikers tot alleen hun essentiële systeembronnen en functies beperkt. Door sommige toegangsrechten en machtigingen zorgvuldig te beheren, verminderen organisaties het risico op inbreuken en de mogelijke gevolgen ervan als dit succesvol is.
Identiteitsbeveiligingsstrategie
Een sterke strategie voor identiteits- en toegangsbeheer is een uitgebreid kader en een reeks standaardgewoonten die een organisatie helpen te beschermen. Het kan beleid en procedures bevatten om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot de diensten van de organisatie. Een veelvoorkomende manier om deze strategie te benaderen, is het implementeren van een oplossing voor geprivilegieerd toegangsbeheer (PAM). PAM-oplossingen zijn gericht op het beperken en controleren van de privileged accounts van een organisatie die toegang hebben tot gevoelige gegevens. In plaats van deze geprivilegieerde gebruikers handmatig te beheren, biedt PAM een productievere en eenvoudigere oplossing.
Vermijd kerberoasting-aanvallen met Keeper
Met één zwak wachtwoord en gebrek aan toezicht kunnen kerberoasting-aanvallers gemakkelijk toegang krijgen tot kritieke accounts en uw organisatie aanzienlijke schade berokkenen. In de huidige cybersecurity-omgeving is bescherming tegen kerberoasting-aanvallen essentieel voor het behoud van gevoelige gegevens.
De volgende generatie PAM-oplossing van Keeper, KeeperPAM™, stelt organisaties in staat om elke geprivilegieerde gebruiker bij te houden en te beschermen door Enterprise Password Management (EPM), Keeper Secrets Management (KSM) en Keeper Connection Management (KCM) te combineren in één platform.
Vraag vandaag nog een demo aan om te zien hoe KeeperPAM uw organisatie kan beschermen tegen kerberoasting-aanvallen.