Kerberoasting — это форма кибератаки, нацеленная на учетные записи служб, использующих протокол аутентификации Kerberos. Злоумышленники используют протокол аутентификации для извлечения хэшей паролей и взлома паролей, хранящихся в виде незашифрованного текста и привязанных к учетной записи. Такие атаки широко распространены, поскольку их трудно заметить и смягчить их последствия. Без применения методов обнаружения и предотвращения Kerberoasting становится серьезной угрозой, поскольку позволяет злоумышленникам скомпрометировать высокопривилегированные учетные записи и потенциально настроить авторизацию для будущего доступа.
Читайте дальше, чтобы узнать больше об атаках Kerberoasting и о том, как защитить учетные записи от них.
Что такое Kerberos?
Прежде чем понять, что такое атаки Kerberoasting, необходимо разобраться, что из себя представляет Kerberos и как он работает. Kerberos — это протокол аутентификации в компьютерной сети, предназначенный для подтверждения подлинности пользователей с помощью службы выдачи билетов. Эта система состоит из трех основных компонентов: клиента, сервера и центра распределения ключей (KDC).
Kerberos — это широко используемый встроенный протокол в среде Windows Active Directory (AD). Он также применяется в других популярных операционных системах, таких как Apple macOS, Linux и FreeBSD.
Как происходят атаки Kerberoasting?
Понимать внутренний процесс атак Kerberoasting очень важно при применении методов их предотвращения. Вот типичные действия, предпринимаемые злоумышленниками для проникновения в учетные записи служб.
1. Компрометация учетной записи
Первое, что делает злоумышленник, — выбирает плохо защищенную учетную запись службы, связанную с именем субъекта-службы (Service Principal Name, SPN), которое является уникальным идентификатором, позволяющим пользователям входить в определенные учетные записи. Злоумышленники специально выбирают SPN, поскольку аутентификация Kerberos строго использует его, чтобы облегчить обслуживание клиента.
2. Запрос множества билетов
Затем злоумышленники используют скомпрометированную учетную запись и, выдавая себя за ее пользователя, запрашивают многочисленные билеты из центра распределения ключей (KDC), домена, который контролирует, кто может получить доступ к сети.
3. Расшифровка пароля и атака методом подбора
Получив билет от службы выдачи билетов (Ticket Granting Service, TGS), злоумышленники извлекают его и используют различные автономные средства и методы для расшифровки пароля. Для взлома хэша пароля часто применяется атака методом подбора. Он включает в себя ввод множества комбинаций паролей до тех пор, пока не будет найдена правильная.
4. Получение полного доступа к серверу
После входа в учетную запись злоумышленники получают доступ ко всем сетям, ресурсам, информации и данным. В большинстве случаев злоумышленники присваивают себе более высокие привилегии, позволяющие завладеть конфиденциальными данными, совершать вредоносные действия и создавать лазейки для доступа в будущем.
Как обнаружить Kerberoasting?
Чем раньше вы обнаружите атаки Kerberoasting, тем меньше будет ущерб от них. Вот два признака, которые могут указывать на атаку Kerberoasting.
Шифрование RC4
Шифрование RC4 — один из наиболее распространенных потоковых шифров из-за его простоты и скорости. Злоумышленники обычно используют этот метод для шифрования данных и проведения атак методом подбора. Поэтому при получении билетов, зашифрованных алгоритмом шифрования RC4, первым делом нужно немедленно отключить использование RC4 для аутентификации Kerberos.
Необычно большое число запросов TGS
Если вы получаете необычно большое число запросов с помощью службы выдачи билетов, следует немедленно обратить на это внимание. Рекомендуется установить базовый уровень ненормально большого числа запросов. Так, вы сможете улучшить структуру и безопасность в целом.
Как предотвратить Kerberoasting?
Атаки Kerberoasting могут показаться пугающими, однако существует несколько способов защитить себя и свою организацию от них. Вот пять лучших способов избежать подобных атак.
Создание надежных паролей
Один из самых простых и эффективных способов предотвратить Kerberoasting — использование надежных паролей, поскольку именно они обычно становятся первой мишенью для кибератак. Наличие надежного защитного барьера усложняет задачу злоумышленников и делает вашу организацию менее уязвимой. Надежный пароль должен быть уникальным, сложным и длинным. Простой пароль, содержащий личную информацию или распространенные последовательности, можно легко запомнить. Однако он считается ненадежным паролем. Ненадежные пароли легко взломать, что увеличивает риск компрометации систем.
Надежный пароль должен содержать случайную комбинацию цифр, букв и специальных символов. Мы рекомендуем использовать менеджер паролей, инструмент, который предотвращает компрометацию учетных записей путем создания и безопасного хранения всех паролей на одной платформе.
Включение многофакторной аутентификации
Многофакторная аутентификация (MFA) — это дополнительный уровень защиты. Она требует от пользователей ввода дополнительной информации в дополнение к имени пользователя и паролю. Этот дополнительный шаг для подтверждения личности снижает общий риск нарушения системы безопасности. Существует несколько типов факторов аутентификации, таких как одноразовый код, биометрическая аутентификация, географическое местоположение или контрольный вопрос. Поскольку многие используют ненадежные пароли, включение многофакторной аутентификации — это дополнительная мера для обеспечения безопасности учетной записи.
Следование принципу наименьших привилегий (PoLP)
Следование принципу наименьших привилегий — основополагающая концепция, поскольку она предоставляет доступ пользователям только к основным системным ресурсам и функциям. Тщательно управляя определенными правами доступа и разрешениями, организации снижают риск утечки данных и потенциальные последствия взлома.
Стратегия безопасности идентификации
Надежная стратегия управления идентификацией и доступом — это комплексная структура и набор стандартных методов, которые помогают защитить организацию. Она может содержать политики и процедуры, обеспечивающие доступ к службам организации только авторизованным лицам. Один из распространенных способов реализации этой стратегии — внедрение решения для управления привилегированным доступом (PAM). Решения PAM направлены на ограничение и мониторинг привилегированных учетных записей организации, имеющих доступ к конфиденциальной информации. Вместо управления привилегированными пользователями вручную, PAM предлагает более эффективное и простое решение.
Избегайте атак Kerberoasting с помощью Keeper
Всего один ненадежный пароль и отсутствие системы контроля позволяет злоумышленникам легко получить доступ к важным учетным записям и нанести значительный ущерб вашей организации. В современных условиях кибербезопасности защита от атак Kerberoasting имеет жизненно важное значение для сохранения конфиденциальной информации.
Решение PAM следующего поколения от Keeper, KeeperPAM™, позволяет организациям отслеживать и защищать каждого привилегированного пользователя, объединяя Enterprise Password Management (EPM), Keeper Secrets Management (KSM) и Keeper Connection Management (KCM) в единую платформу.
Чтобы узнать, как KeeperPAM может защитить вашу организацию от атак Kerberoasting, запросите демоверсию этого решения.