Kerberoasting 是一种针对使用 Kerberos 身份验证协议的服务帐户的网络攻击。 攻击者利用身份验证协议提取密码哈希,并破解帐户上附加的明文密码。 这些攻击十分普遍,因为它们很难被发现,也很难缓解。 如果不采用检测和预防技术,Kerberoasting 就会成为严重威胁,因为它允许网络犯罪分子入侵高权限帐户,并有可能为今后的访问设置授权。
继续阅读,详细了解 Kerberoasting 攻击,以及如何保护自己的帐户免受其攻击。
什么是 Kerberos?
在了解什么是 Kerberoasting 攻击之前,您必须首先了解什么是 Kerberos 及其运作原理。Kerberos 是一种计算机网络身份验证协议,只在通过票据授予服务,确认用户的有效性。 该系统由三个主要实体构成:客户端、服务器和密钥分发中心 (KDC)。
Kerberos 是 Windows 活动目录 (AD) 环境中广泛使用的内置协议。 它还用于其他热门操作系统,如 Apple macOS、Linux 和 FreeBSD。
Kerberoasting 攻击的运作原理是什么?
了解 Kerberoasting 攻击的内部流程对于将预防技术付诸实践至关重要。 以下是攻击者渗透服务帐户的典型步骤。
1. 入侵帐户
攻击者要做的第一件事是锁定与服务主体名称 (SPN) 关联的若服务帐户,SPN 是允许用户进入特定帐户的唯一标识。 攻击者专门追踪 SPN,因为 Kerberos 身份验证严格使用 SPN 为客户端提供服务。
2. 请求多个票据
然后,攻击者利用被入侵的帐户,冒充帐户用户向密钥分发中心 (KDC) 申请多个票据,这是一个控制谁可以访问网络的域。
3. 解密密码和暴力攻击
攻击者收到票据授权服务 (TGS) 的票据后,就会提取该票据,并使用各种离线工具和技术解密密码。暴力攻击技术通常用于破解密码哈希。 这种方法需要输入无数个密码组合,直到找到正确的密码。
4. 获得对服务器的完全访问权限
攻击者成功进入帐户后,即可访问所有网络、资源、信息和数据。 在大多数情况下,攻击者会授予自己更高的帐户权限,从而可以访问更多的敏感数据、执行恶意操作,并为将来的访问设置后门。
如何检测 Kerberoasting
尽早检测 Kerberoasting 攻击有助于最大限度降低损害。 以下是需要注意的两个可能表明 Kerberoasting 攻击的迹象。
RC4 加密
RC4 加密因其简单快速而成为最常见的流密码之一。 攻击者通常使用这一技术加密数据并进行暴力攻击。 因此,您收到使用 RC4 加密算法的票据请求时,首先应立即禁用 RC4 算法进行 Kerberos 身份验证。
异常数量的 TGS 请求
如果您收到数量异常的票据授予服务请求,则应该立即调查。 好的做法是确定异常请求量的基准, 从而整体搭建出更好的结构和安全。
如何防范 Kerberoasting
Kerberoasting 攻击看起来令人害怕,但不要担心,有几种方法可以保护自己和组织免遭其攻击。 以下是避免这些攻击的五种最佳做法。
创建强密码
防范 Kerberoasting 最简单、最有效的方式之一是使用强密码,因为密码通常是网络攻击的第一个目标。 拥有强大的基础屏障,攻击者的难度就更大了,组织的脆弱性也下降了。 强密码应该是唯一的,既复杂又长。 使用含有个人信息或常见顺序的简单密码可能很容易记住,但这是公认的弱密码。 弱密码会很容易被破解,从而增加了被黑客攻击的风险。
强密码应含有数字、字母和符号的随机组合。 考虑使用密码管理器,这是一种通过在一个地方生成并安全存储所有密码来防止账户泄露的工具。
启用 MFA
多因素身份验证 (MFA) 是额外一层安全性,除了用户名和密码,还要求用户输入其他信息。 证明自己身份的这一额外步骤可降低安全漏洞的整体风险。 有几种类型的身份验证因素,如一次性代码、生物识别认证、地理位置或安全问题。 由于很多人使用弱密码,启用 MFA 是保护账户安全的额外措施。
遵循最小权限原则(PoLP)
遵循最小特权原则是一个基本概念,因为它只限制用户访问其基本的系统资源和功。 通过仔细管理某些访问权利和权限,组织可以降低泄密风险和泄密成功后的潜在影响。
身份安全策略
强大的身份和权限管理策略是一个综合框架和一套标准操作,有助于保护组织。 它可能包含政策和程序,只有得到授权的个人才能访问组织的服务。 实施权限访问管理 (PAM) 解决方案是实现这一策略的常用方法之一。 PAM 解决方案侧重于限制和监控组织中可访问敏感信息的特权帐户。 与手动管理这些特权用户相比,PAM 提供了一种更高效、更简单的解决方案。
借助 Keeper 避免 Kerberoasting 攻击
只需一个弱密码和缺乏监控,Kerberoasting 攻击者就能轻松访问关键账户,给组织造成重大损失。 在当今的网络安全环境中,防范 Kerberoasting 攻击是保护敏感信息的关键。
Keeper 的新一代 PAM 解决方案 KeeperPAM™ 将企业密码管理 (EPM)、Keepr 密钥管理 (KSM) 和 Keeper 连接管理 (KCM) 整合到一个统一的平台中,方便组织追踪并保护每个特权用户。
如需了解 KeeperPAM 如何保护你组织免遭 Kerberoasting 攻击,请立即申请演示。