Зламати код: Розуміння атак і захистів Kerberos.

У світі кібербезпеки Kerberos є надійним протоколом аутентифікації, який використовується для захисту комунікацій у сучасних корпоративних мережах. Він дозволяє користувачам отримувати доступ до кількох сервісів за допомогою одного логіну, зменшуючи необхідність повторно вводити паролі. Однак зловмисники розробили складні техніки для використання вразливостей у Kerberos та супутніх механізмах. У цій статті розглядаються найбільш поширені атаки на базі Kerberos, такі як Kerberoasting, Pass-the-Hash, Golden Ticket, Silver Ticket та On-Path атаки. Ми пояснимо, як працюють ці атаки, їхній вплив і як зменшити їхні ризики, щоб цей посібник був корисним як для технічних, так і для нетехнічних аудиторій. 🌐🔐💡

1. On-Path Атаки

Атака On-Path, раніше відома як Man-in-the-Middle (MitM), полягає в тому, що зловмисник перехоплює комунікації між двома або більше пристроями. Мета полягає в тому, щоб вкрасти або змінити чутливі дані, що передаються, часто без відома обох сторін. 🕵️📡🔍

Як це працює:

Уявіть ситуацію, коли дві сторони, Аліса та Боб, обмінюються повідомленнями. Зазвичай їхня комунікація є прямою та безпечною. Однак, під час атаки On-Path:

• 🕵️‍♂️ Зловмисник займає місце між Алісою та Бобом.
• 📡 Він перехоплює та, можливо, змінює дані, що передаються.
• 🔐 Зловмисник може прослуховувати, красти чутливу інформацію або маніпулювати комунікацією, щоб вставити шкідливі дані.

У середовищі Kerberos цей тип атаки може націлюватися на процеси аутентифікації. Наприклад, зловмисник може перехопити квитки Kerberos, щоб підробити законного користувача. 🎫🔑💻

Приклад:

Припустимо, що зловмисник отримав доступ до мережі та перехоплює трафік між користувачем та сервісом. Перехопивши токени аутентифікації або квитки, він може підробити користувача та отримати несанкціонований доступ до ресурсів. 📥🎯📶

Зниження ризику:

• ✅ Взаємна аутентифікація: Обидві сторони повинні перевіряти ідентичність одна одної.
• 🔒 Шифрування: Шифруйте весь мережевий трафік, використовуючи протоколи, як TLS (Transport Layer Security), щоб запобігти несанкціонованому доступу.
• 🛡️ Моніторинг мережі: Використовуйте інструменти для виявлення незвичних патернів трафіку або аномалій, що можуть вказувати на атаку On-Path.

2. Kerberoasting

Kerberoasting — це техніка, яку зловмисники використовують для експлуатації слабкого шифрування та неправильних практик управління паролями. Мета — витягти хеші облікових записів сервісів з Active Directory та розкривати їх офлайн. 🛠️💻🔑

Як це працює:

1. 🔍 Імена службових принципалів (SPNs): У середовищі Kerberos SPNs ідентифікують сервіси, що працюють на серверах.
2. 🎫 Запити квитків: Зловмисники запитують квитки на сервіси для SPN, які асоційовані зі службовими обліковими записами.
3. 🧩 Слабкість шифрування: Ці квитки шифруються за допомогою NTLM хешу паролю службового облікового запису.
4. 💻 Офлайн-крекінг: Зловмисник витягує квиток, зберігає його та використовує інструменти для розкриття паролю офлайн. 🖥️📜🔓

Вплив:

Після того, як пароль облікового запису сервісу буде розкритий, зловмисник може:

• 🛠️ Отримати доступ до сервісу, пов'язаного з обліковим записом.
• 🌐 Переміщатися по мережі, щоб зламати інші ресурси.

Зниження ризику:

• 🔑 Сильні паролі: Використовуйте довгі та складні паролі для службових облікових записів, щоб ускладнити їх розкриття.
• 🔄 Оновлення паролів: Регулярно оновлюйте паролі для службових облікових записів, щоб обмежити потенційні ризики.
• 📊 Моніторинг: Спостерігайте за незвичними патернами запитів квитків Kerberos, особливо для облікових записів з високими привілеями.

3. Атака Pass-the-Hash

Pass-the-Hash (PtH) — це техніка, коли зловмисники використовують вкрадений хеш пароля для аутентифікації в системі, обминаючи необхідність знати фактичний пароль у вигляді простого тексту. 🔒🔑🔄

Як це працює:

1. 🛠️ Компрометація: Зловмисник отримує доступ до системи та витягує хеші паролів, збережені в пам'яті, на диску або в реєстрі.
2. 🔄 Повторне використання: Замість того, щоб розкривати хеш, зловмисник використовує його безпосередньо для аутентифікації в інших системах.
   📂🔗💻

Вплив:

З отриманим хешем зловмисники можуть:

• 🔓 Отримати доступ до інших систем, де ці самі облікові дані є дійсними.
• 🚀 Ескалувати привілеї та переміщатися по мережі.

Зниження ризику:

• ⚙️ Принцип найменших привілеїв: Обмежте доступ адміністративних облікових записів, щоб зменшити площу атаки.
• 🔐 Багатофакторна аутентифікація (MFA): Використовуйте MFA для додаткового рівня захисту.
• 🚫 Вимкнути NTLM: Якщо NTLM не використовується, його вимкнення зменшує ризик атак PtH.

4. Атака Kerberos Golden Ticket

Атака Golden Ticket є однією з найпотужніших експлойтів Kerberos. Вона полягає у підробці квитка для надання доступу до всього домену. 🏆🔐🎫

Як це працює:

1. 🗝️ Обліковий запис KRBTGT: Цей спеціальний обліковий запис у Active Directory відповідає за шифрування та підписування всіх TGT.
2. 🛠️ Компрометація: Зловмисник компрометує KDC (Key Distribution Center) і витягує хеш облікового запису KRBTGT.
3. 🖨️ Підроблений квиток: Використовуючи хеш, зловмисник створює підроблений TGT.
4. 🌐 Необмежений доступ: Підроблений TGT дозволяє зловмиснику видавати себе за будь-якого користувача та отримувати доступ до будь-якого ресурсу в домені. 🎯📂🔑

Вплив:

Атаки Golden Ticket надають зловмисникам:

• 📥 Постійний доступ до мережі.
• 🛡️ Можливість обминати зміни паролів або блокування облікових записів.

Зниження ризику:

• 🔄 Оновлення пароля KRBTGT: Регулярно змінюйте пароль облікового запису KRBTGT, щоб анулювати підроблені квитки.
• 📊 Моніторинг: Спостерігайте за незвичною активністю квитків, такою як незвично довгі терміни дії квитків.
• 🔒 Контроль доступу: Обмежте доступ до KDC та впровадьте багаторівневу модель адміністрування.

5. Атака Kerberos Silver Ticket

Атаки Silver Ticket подібні до атак Golden Ticket, але вони більш цілеспрямовані. Вони полягають у підробці квитків для конкретних сервісів для отримання несанкціонованого доступу до певного сервера чи сервісу. 🎫🔑🎯

Як це працює:

1. 🔑 Хеш облікового запису сервісу: Зловмисник отримує NTLM хеш облікового запису сервісу.
2. 🎫 Підроблений квиток: Використовуючи хеш, зловмисник створює підроблений сервісний квиток (TGS) для конкретного SPN.
3. 🎯 Цілеспрямований доступ: Зловмисник використовує підроблений квиток для доступу до запланованого сервісу. 🛠️📂👤

Вплив:

Хоча атаки Silver Ticket не настільки широкі, як Golden Ticket, вони можуть:

• 🖥️ Компрометувати конкретні додатки або сервіси.
• 👻 Бути важко виявленими, оскільки вони обминають KDC повністю.

Зниження ризику:

• 🔐 Безпека облікових записів сервісів: Використовуйте сильні, складні паролі та регулярно їх змінюйте.
• 📜 Моніторинг журналів: Перевіряйте на незвичну активність аутентифікації, пов'язану з обліковими записами сервісів.
• 🛡️ Управління привілейованим доступом (PAM): Використовуйте рішення PAM для управління та моніторингу використання облікових записів сервісів.

Висновок

Атаки на базі Kerberos експлуатують вразливості в механізмах аутентифікації та слабкі практики безпеки. Хоча ці атаки можуть бути руйнівними, організації можуть зменшити ризики шляхом впровадження надійних заходів безпеки, таких як політики сильних паролів, регулярний аудит і використання розвинених інструментів моніторингу. Розуміння цих методів атак і їхніх основних принципів допоможе як технічним, так і нетехнічним учасникам сприяти створенню стійкої безпекової позиції, яка захистить критичну інфраструктуру від компрометації. 🛡️🌍✨

Перекладено з: Cracking the Code: Understanding Kerberos Attacks and Defenses.