Introduzione agli attacchi Kerberoasting
Gli attacchi Kerberoasting sfruttano il protocollo di autenticazione di rete Kerberos all’interno degli ambienti Windows Active Directory. Il processo di autenticazione Kerberos funziona nel seguente modo:
1. AS-REQ: Un utente effettua il login e richiede un Ticket Granting Ticket (TGT).
2. AS-REP: Il server di autenticazione verifica le credenziali dell’utente e rilascia un TGT.
3. TGS-REQ: Quando l’utente desidera accedere a un servizio, richiede un Ticket Granting Service Ticket (TGS) utilizzando il TGT precedentemente ricevuto. Questa azione viene registrata come Evento Windows 4769 sul controller di dominio.
4. TGS-REP: Il TGS verifica la richiesta e rilascia un TGS, che è crittografato utilizzando l’hash della password dell’account di servizio associato al servizio richiesto.
5. KRB-AP-REQ: Per autenticarsi contro un servizio utilizzando il ticket TGS, l’utente lo invia al server dell’applicazione, che esegue varie azioni per verificare la legittimità dell’utente e consentire l’accesso al servizio richiesto.
Gli attaccanti mirano a sfruttare questo processo poiché i ticket di servizio Kerberos sono crittografati con l’hash della password dell’account di servizio. Per sfruttare i ticket Kerberos, gli attaccanti utilizzano prima LDAP (Lightweight Directory Access Protocol) per interrogare la directory alla ricerca di account AD che hanno Service Principal Names (SPN) associati. Un attaccante richiederà quindi i Ticket Granting Service (TGS) per questi account, operazione che può essere eseguita senza diritti amministrativi. Una volta richiesti questi ticket di servizio, possono decifrare l’hash offline per scoprire le credenziali dell’account di servizio. L’accesso a un account di servizio può quindi consentire all’attaccante di muoversi lateralmente, aumentare i privilegi o esfiltrare dati.
Le carenze dei metodi euristici tipici
Molte organizzazioni utilizzano metodi di rilevamento basati su euristiche per segnalare comportamenti irregolari di Kerberos. Un metodo comune è il rilevamento basato sul volume, che può segnalare un picco nell’attività di richiesta TGS da un singolo account. Se un attaccante richiede ticket TGS per tutti i nomi principali di servizio che può trovare utilizzando LDAP, il sistema potrebbe rilevare un’anomalia. Tuttavia, questi metodi spesso generano falsi positivi o non riescono a rilevare attacchi “low-and-slow”.
Un approccio migliore per rilevare anomalie nel traffico Kerberos
Gli esperti di sicurezza discutono di Kerberoasting da oltre un decennio, eppure questo attacco continua a sfuggire ai metodi di difesa tipici. Perché? È perché i rilevamenti esistenti si basano su euristiche fragili e regole statiche, che non sono efficaci nel rilevare potenziali schemi di attacco nel traffico Kerberos altamente variabile. Esiste un modo migliore e più accurato per le organizzazioni moderne di rilevare sottili anomalie all’interno del traffico Kerberos irregolare? Il team di ricerca di BeyondTrust ha cercato di rispondere a questa domanda combinando approfondimenti di ricerca sulla sicurezza con statistiche avanzate. Questo articolo offre una panoramica dei fattori trainanti della nostra ricerca e del nostro processo di sviluppo e test di un nuovo framework statistico per migliorare l’accuratezza del rilevamento delle anomalie Kerberos e ridurre i falsi positivi.
Fonte: The Hackers News
