Kerberoasting: Slabina Active Directory, ktorú nesmiete ignorovať

Čo je Kerberoasting?

Kerberoasting je typ útoku na Active Directory, ktorý je zameraný na kompromitáciu hesiel servisných účtov (Service Accounts). Útok využíva slabé miesta v protokole Kerberos, ktorý je bežne používaný na autentifikáciu v sieti Windows. Napadnutie spočíva v tom, že útočník získa zašifrovaný tiket od autentifikačného servera (TGS – Ticket Granting Server) a následne sa pokúša vykonať offline útok na prelomenie zašifrovaného hesla servisného účtu. Útočníci obľubujú tento proces, pretože ho môžu vykonávať bez interakcie so sieťou. Akonáhle získajú zašifrované tikety, môžu skúšať prelomiť heslo offline, čo minimalizuje riziko detekcie v sieti.

Priebeh Kerberoastingu

1. Získanie TGS tiketov: Autentifikovaný útočník v sieti môže požiadať o TGS tikety pre servisné účty. Každý tiket je vždy zašifrovaný heslom servisného účtu, čo priamo viaže tiket na konkrétne heslo, ktoré sa útočník snaží získať.
2. Extrakcia tiketov: Pomocou nástrojov ako Rubeus, Impacket alebo Mimikatz si útočník stiahne tikety z pamäte alebo pomocou činnosti z domény. Tieto nástroje sú dostupné pre širokú komunitu a poskytujú jednoduché rozhranie na extrahovanie potrebných údajov priamo z pamäte doménového kontroléra.
3. Offline dešifrovanie: Útočník sa pokúša vykonať brute-force alebo dictionary attack na tiket v offline prostredí. Tiket je zašifrovaný pomocou RC4 alebo AES, preto ak je heslo servisného účtu slabé, môže byť často relatívne ľahko prelomené. Výhodou pre útočníka je, že má neobmedzené množstvo času na vykonanie útoku, čo znamená, že čím je heslo slabšie, tým rýchlejšie ho dokáže prelomiť.
4. Kompromitácia: Ak sa útočníkovi podarí prelomiť heslo, získa plný prístup k servisnému účtu, ktorý môže mať často vysoké privilegá a poskytuje výrazný prístup do prostredia. Toto môže viesť ku kompromitácii celej domény, najmä ak má servisný účet oprávnenia na prístup k citlivým zdrojom alebo aplikáciám.

Ako zistiť Kerberoasting?

• Monitoring tiketov: Sleduj udalosti v Active Directory a monitoruj podozrivý počet žiadaní o TGS tikety pre servisné účty. Pri Kerberoastingu útočníci často opakovane žiadajú o TGS tikety v krátkom čase, čo vytvára nezvyčajné správanie pre bežnú prevádzku v sieti.
• Event ID 4769: Tento event ID je záznamom o žiadosti o TGS tiket. Zvýšený počet takýchto udalostí môže indikovať prebiehajúcu aktivitu kerberoastingu. Opakované žiadosti na konkrétnom servisnom účte alebo viacerých účtoch môžu silne indikovať pokus o útok.
• Analyzátory siete: Použitie nástrojov na monitorovanie siete, napríklad Wireshark alebo Splunk, na detekciu podozrivých požiadaní z jediného zdroja. Analyzátory siete umožňujú vidieť podrobné informácie o každej požiadavke a sledovať ich zdroje, čím je možné identifikovať podozrivé vzory správania.
• Threat Hunting a behaviorálna analýza: Aktívne vykonávanie analýzy správania používateľov a účtov, ktoré žiadajú o TGS tikety, môže odhaliť anomálie, ktoré naznačujú kerberoasting. Behaviorálne vzorce, ktoré sa líšia od bežného využívania servisných účtov, sú typické pre takýto útok.

Obrana proti Kerberoastingu?

• Silné heslá pre servisné účty: Nastav pre servisné účty silné heslá s dostatočnou dĺžkou a zložitosťou. Vyžaduj minimálne 25-znakové heslá, ktoré kombinujú písmená, číslice a špeciálne znaky. Silné heslo značne sťažuje možnosť jeho prelomenia aj pri použití brute-force alebo dictionary útoku.
• Managed Service Accounts (MSA): Používanie MSA alebo gMSA je efektívny spôsob, ako sa brániť proti kerberoastingu. Tieto typy účtov generujú a spravujú heslá automaticky, čo ich robí menej náchylnými na kompromitáciu. Navyše, MSA a gMSA zjednodušujú správu hesiel a zabezpečujú, že heslá sú vždy komplexné a často menené.
• AES šifrovanie: Uisti sa, že všetky servisné účty používajú AES namiesto RC4. AES je oveľa bezpečnejší a ťažšie ho prelomiť, čo minimalizuje šance úspešného kerberoastingu. RC4 má známe slabiny, ktoré ho robia zraniteľným voči moderným útokom, a preto jeho nahradenie AES je kritickým krokom.
• Minimize SPN Exposure: Priraď Service Principal Names (SPN) iba k účtom, ktoré ich potrebujú. Redukuj počet SPN priradených servisným účtom, aby si zmenšil účinnosť kerberoastingu. Zbytočné SPN zvyšujú šance útočníka na úspešné zneužitie.
• Privileged Access Workstations (PAWs): Spravovanie servisných účtov z bezpečných pracovných staníc, kde nie je možnosť škodlivých útokov alebo malwaru, minimalizuje šancu útoku na tieto účty. PAWs zaisťujú, že správa kritických účtov sa uskutočňuje v izolovanom prostredí, čím sa znižuje riziko úspešného útoku.

Prevencia

• Segmentácia siete: Rozdeľ sieť tak, aby servisné účty neboli prístupné zo všetkých segmentov siete. Segmentácia znižuje pravdepodobnosť, že útočník bude schopný získať TGS tikety. Segmentácia siete obmedzuje potenciálne útoky na určité časti siete a znižuje ich celkový dosah.
• Pravidelná zmena hesiel: Implementuj politiku pravidelnej zmeny hesiel pre servisné účty a prístupné mechanizmy. Častá zmena hesiel, najmä pri zistení akejkoľvek anomálie, minimalizuje šance na úspešný útok a obmedzuje platnosť akéhokoľvek získaného hesla.
• Monitoring a alerty: Vždy monitoruj a nastav alerty pre neštandardné správanie sa, ako napríklad neobvyklý počet žiadaní o TGS tikety. Uvedenie vhodných notifikačných mechanizmov znamená, že správcovia môžu rýchlo reagovať na podozrivé aktivity a predchádzať úspešnému útoku.
• Delegácia práv a správny návrh AD: Minimalizuj práva servisných účtov na potrebné minimum a implementuj princíp „najmenších oprávnení“ (Least Privilege). Toto zabezpečí, že aj v prípade kompromitácie nebude mať útočník prístup k citlivým dátam alebo dôležitým systémom.
• Využitie SIEM riešení: Použitie SIEM (Security Information and Event Management) nástrojov, ako napríklad Splunk, ArcSight, alebo QRadar, na zber a analýzu všetkých udalostí týkajúcich sa TGS tiketov a autentifikácie, umožňuje rýchlejšiu detekciu a efektívne odpovedanie na incidenty.