Kerberoasting to forma cyberataku kont usługi wykorzystująca protokół uwierzytelniania Kerberos. Atakujący wykorzystują protokół uwierzytelniania, aby wyodrębnić skróty haseł i złamać dołączone do konta hasła w postaci zwykłego tekstu. Ataki te są powszechne, ponieważ są trudne do wykrycia i wyeliminowania. Brak wdrożenia technik wykrywania i zapobiegania sprawia, że Kerberoasting staje się poważnym zagrożeniem, ponieważ umożliwia cyberprzestępcom naruszenie wysoce uprzywilejowanych kont i potencjalnie skonfigurowanie autoryzacji na potrzeby dostępu w przyszłości.
Czytaj dalej, aby dowiedzieć się więcej o atakach typu Kerberoasting i jak chronić przed nimi konta.
Co to jest Kerberos?
Aby zrozumieć, na czym polega atak typu Kerberoasting, należy najpierw dowiedzieć się, co to jest Kerberos i jak działa. Kerberos to protokół uwierzytelniania w sieci komputerowej mający na celu potwierdzenie uprawnień użytkowników za pośrednictwem usługi przyznawania identyfikatorów. System składa się z trzech elementów: klienta, serwera i centrum dystrybucji kluczy (KDC).
Kerberos to powszechnie używany, wbudowany protokół w środowiskach wykorzystujących usługę Windows Active Directory (AD). Jest również wykorzystywany w innych popularnych systemach operacyjnych, takich jak Apple macOS, Linux i FreeBSD.
Na czym polega atak typu Kerberoasting?
Zrozumienie przebiegu ataku typu Kerberoasting ma kluczowe znaczenie dla wdrożenia technik zapobiegania takim atakom. Oto typowe działania podejmowane przez atakującego w celu przeniknięcia do kont usługi.
1. Naruszenie konta
W pierwszej kolejności cyberprzestępca atakuje słabe konto usługi powiązane z główną nazwą usługi (SPN), unikatowym identyfikatorem, który umożliwia użytkownikom dostęp do określonego konta. Atakujący biorą na cel SPN, ponieważ uwierzytelnianie Kerberos wykorzystuje główną nazwę usługi do udostępnienia usługi klientowi.
2. Żądanie wielu identyfikatorów
Następnie atakujący wykorzystuje naruszone konto i podszywa się pod użytkownika konta, aby przesłać wiele żądań identyfikatorów do centrum dystrybucji kluczy (KDC), domeny kontrolującej dostęp użytkowników do sieci.
3. Odszyfrowanie hasła i atak siłowy
Po otrzymaniu identyfikatora z usługi przyznawania identyfikatorów (TGS) atakujący wyodrębnia go i wykorzystuje szereg narzędzi oraz technik offline do odszyfrowania hasła. Do złamania skrótu hasła często wykorzystuje się techniki ataku siłowego. Ta metoda obejmuje wprowadzanie szeregu kombinacji haseł aż do skutku.
4. Uzyskanie pełnego dostępu do serwera
Po uzyskaniu dostępu do konta atakujący może uzyskać dostęp do wszystkich sieci, zasobów, informacji i danych. W większości przypadków atakujący przyznają sobie wyższe uprawnienia konta, umożliwiając dostęp do większej ilości danych poufnych, prowadzenie złośliwych działań i tworzenie „tylnego wejścia” na potrzeby dostępu w przyszłości.
Jak wykryć Kerberoasting
Jak najszybsze wykrycie ataków typu Kerberoasting może ułatwić zminimalizowanie szkód. Oto dwa elementy wskazujące na atak typu Kerberoasting, na które należy zwrócić uwagę.
Szyfrowanie RC4
Szyfrowanie RC4 jest jednym z najczęściej spotykanych szyfrów strumieniowych ze względu na swoją prostotę i szybkość. Atakujący zazwyczaj wykorzystują tę technikę do szyfrowania danych i przeprowadzania ataków siłowych. Dlatego w przypadku otrzymywania żądań identyfikatora zaszyfrowanych przy użyciu algorytmu RC4 należy natychmiast wyłączyć wykorzystanie RC4 na potrzeby uwierzytelniania Kerberos.
Nietypowa liczba żądań TGS
Nietypowa liczba kierowanych do usługi żądań identyfikatorów powinna natychmiast zostać zbadana. Dobrą praktyką jest ustalenie poziomu bazowego nietypowej liczby żądań. Zapewnia to większą przejrzystość i bezpieczeństwo.
Jak zapobiegać atakom typu Kerberoasting
Ataki typu Kerberoasting mogą wydawać się groźne, ale dostępnych jest kilka sposobów ochrony przed nimi użytkowników i organizacji. Oto pięć najlepszych praktyk, które pozwolą uniknąć ataków tego typu.
Tworzenie silnych haseł
Jednym z najprostszych i najskuteczniejszych sposobów zapobiegania atakom typu Kerberoasting jest używanie silnych haseł, ponieważ hasła są zwykle pierwszym celem cyberataków. Silne podstawowe zabezpieczenie utrudnia atak cyberprzestępcom i zwiększa poziom ochrony organizacji. Silne hasło powinno być unikatowe, złożone i długie. Proste hasło zawierające dane osobowe lub typowe sekwencje może być łatwe do zapamiętania, ale jest uważane za słabe hasło. Słabe hasła można łatwo złamać, co zwiększa ryzyko zhakowania.
Silne hasło powinno zawierać losową kombinację cyfr, liter i symboli. Rozważ korzystanie z menedżera haseł, narzędzia zaprojektowanego do zapobiegania naruszeniom kont poprzez generowanie i bezpieczne przechowywanie wszystkich haseł w jednym miejscu.
Włączenie MFA
Uwierzytelnianie wieloskładnikowe (MFA) to dodatkowa warstwa zabezpieczeń, która wymaga od użytkowników wprowadzenia dodatkowych informacji oprócz nazwy użytkownika i hasła. Ten dodatkowy etap weryfikacji tożsamości zmniejsza ogólne ryzyko naruszenia bezpieczeństwa. Dostępnych jest kilka rodzajów czynników uwierzytelniania, takich jak jednorazowy kod, uwierzytelnianie biometryczne, lokalizacja geograficzna lub pytanie zabezpieczające. Włączenie MFA jest dodatkowym środkiem zapewniającym bezpieczeństwo konta, ponieważ wiele osób używa słabych haseł.
Zasada niezbędnych minimalnych uprawnień (PoLP)
Zasada niezbędnych minimalnych uprawnień odgrywa kluczową rolę, ponieważ ogranicza dostęp użytkowników wyłącznie do niezbędnych zasobów i funkcji systemu. Odpowiednie zarządzanie określonymi prawami dostępu i uprawnieniami ogranicza ryzyko naruszeń w organizacji i potencjalny wpływ ewentualnych naruszeń.
Strategia bezpieczeństwa tożsamości
Odpowiednia strategia zarządzania tożsamością i dostępem to kompleksowe ramy i zestaw standardowych praktyk, które pomagają chronić organizację. Może zawierać zasady i procedury zapewniające dostęp do usług organizacji tylko upoważnionym osobom. Do typowych metod zastosowania tej strategii należy wdrożenie rozwiązania do zarządzania dostępem uprzywilejowanym (PAM). Rozwiązania PAM koncentrują się na ograniczaniu i monitorowaniu kont uprzywilejowanych organizacji, które mają dostęp do poufnych informacji. PAM zapewnia bardziej efektywne i proste rozwiązanie zamiast ręcznego zarządzania uprzywilejowanymi użytkownikami.
Unikaj ataków typu Kerberoasting dzięki rozwiązaniu Keeper
Jedno słabe hasło i brak nadzoru umożliwiają cyberprzestępcom wykorzystującym atak Kerberoasting uzyskanie dostępu do kluczowych kont i spowodowanie znacznych szkód w organizacji. W dzisiejszym środowisku cyberbezpieczeństwa ochrona przed atakami typu Kerberoasting ma istotne znaczenie dla ochrony poufnych informacji.
Rozwiązanie KeeperPAM™ nowej generacji umożliwia organizacjom śledzenie i ochronę każdego uprzywilejowanego użytkownika poprzez połączenie elementów Enterprise Password Management (EPM), Keeper Secrets Management (KSM) i Keeper Connection Management (KCM) w jedną platformę.
Poproś o demo już dziś, aby przekonać się, jak rozwiązanie KeeperPAM może chronić organizację przed atakami typu Kerberoasting.