Kerberoasting攻击是攻击者的一种方式, Anmeldeinformationen für Active-Directory-Konten zu erhalten und diese Anmeldeinformationen dann zum Diebstahl von Daten zu nutzen. “Kerberoasting”这个词是一个英语单词游戏,因为它发生了。 Kerberos zunutze, ein Netzwerk-Authentifizierungsprotokoll, das sichere Authentifizierungsanfragen zwischen Clients und Diensten über ein nicht vertrauenswürdiges Netzwerk wie das Internet gewährleisten soll.
Bei einem Kerberoasting-Angriff nutzt ein Bedrohungsakteur die gestohlenen Anmeldeinformationen, um verschlüsselte Nachrichten zu sammeln und sie anschließend offline zu entschlüsseln. 使威胁行为者更难进入,d.h. die Erhöhung der Privilegien, ist eine Möglichkeit, einen Kerberoasting-Angriff abzuwehren. Allerdings braucht ein Angreifer nur das Konto eines Benutzers zu kompromittieren, 获取访问数据.
Kerberoasting-Angriffe sind weit verbreitet, da der Zugriff einem Benutzer gewährt wird, der vom System als legitim angesehen wird. Da die Entdeckung kompromittierter oder gestohlener Zugangsdaten eine gewisse Zeit in Anspruch nimmt, hat eine Person oder Gruppe umso mehr Zeit, sich als legitimer Benutzer des Netzwerks auszugeben und nach Belieben auf Daten zuzugreifen oder sie zu stehlen.
Die 网络安全基础设施与安全局(CISA) der US-Regierung hat festgestellt, Kerberoasting是最省时的方法之一, um Privilegien zu erhöhen und sich seitlich und unkontrolliert in einem Netzwerk zu bewegen.
Kerberoasting-Angriffe funktionieren, indem sie das Kerberos-Authentifizierungsprotokoll nutzen, um:
Für Kerberoasting-Angriffe sind weder ein Administratorkonto noch erhöhte Berechtigungen erforderlich. 是什么让这种攻击特别有吸引力, ist die Tatsache, 该域的任何用户帐户都可以使用, 因为所有帐户都可以从票务授权服务器(TGS)请求服务票.
一旦攻击者能够访问用户的帐户, kann er sich in der Regel bei jeder Workstation in dieser Domain anmelden – insbesondere bei solchen, auf denen Dienste ausgeführt werden, 服务帐户需要Kerberos功能.
Nachfolgende Aktionen wie Seitwärtsbewegungen und Exfiltration können direkt vor der Nase der gesamten Sicherheitsorganisation und des Unternehmens stattfinden, 当攻击者伪装成拥有更高权限的人时. Tatsächlich könnte die erhöhte Natur einer solchen Identitätsannahme das Unternehmen extrem haftbar machen, 即使攻击者在相对较短的时间内被抓住.
Eine unkontrollierte Ausbreitung im Netzwerk kann für jedes Unternehmen erschreckend sein, weshalb Sicherheitstools, 那些更早发现这种微妙的恶意和冒险行为的人, wichtiger denn je sind.
Kerberoasting攻击有许多不同的版本。. 因此,让我们更仔细地观察一个特定结构的内部结构:
Laut CISA ist Kerberoasting eine bevorzugte Angriffsmethode der vom russischen Staat geförderten APT-Akteure (Advanced Persistent Threat), wobei die Täter die oben erläuterte Kerberoasting-Angriffsmethode angewendet haben.
Sobald sich ein Angreifer unter einem ordnungsgemäß legitimierten Profil Zugang zu einem Netzwerk verschafft hat, 理论上,它可以很容易地在网络中移动. 这可能会很困难。, böswillige Aktivitäten zu erkennen (vor allem, wenn ständig Fehlmeldungen ausgegeben werden), 如果数据盗窃是巧妙的.
Diese hohe Anzahl von Fehlmeldungen ist der Grund, warum die alleinige Orientierung an den MITRE-Empfehlungen eine Herausforderung darstellen kann. 应采取额外措施防止这种情况发生。. Rapid7的InsightIDR可以提供以下支持:
有很多方法可以防止Kerberoasting攻击. Die wichtigste ist jedoch die Gewährleistung einer guten Passworthygiene im gesamten Unternehmen. Es ist wichtig, zufällig generierte Anmeldeinformationen zu verwenden und Konten mit erweiterten Berechtigungen bestmöglich zu sichern.
Wenden wir uns nun der angemessenen Reaktion auf einen laufenden Kerberoasting-Angriff zu. Natürlich ist es leicht, sich ein Worst-Case-Szenario vorzustellen, in dem sich der Bedrohungsakteur als eine ordnungsgemäß legitimierte Person ausgibt und viel zu lange Zugang hat und möglicherweise viel zu viele Daten gestohlen hat.
一旦你深呼吸几次, können die folgenden Schritte bei der Einleitung einer angemessenen Reaktion helfen:
MFA ist eine relativ einfache Möglichkeit, einen Kerberoasting-Angriff zu vermeiden. Die Anforderung mehrerer Formen der Authentifizierung zwischen mehreren Geräten kann dazu beitragen, die Masse der Angriffsversuche abzuwehren. 从商业的角度来看,挑战在于, 将MFA软件提供给所有员工,并希望, 采取这一保护企业的重要做法.
Obwohl diese einfachen Sicherheitsprüfungen zum Allgemeinwissen zu gehören scheinen, 世界上仍然有很多公司, 缺乏适当的密码或登录卫生,如MFA.
Es ist enttäuschend und erschreckend, wenn Bedrohungsakteure ein Sicherheitsprotokoll wie Kerberos in ein Tool zum Stehlen von Daten verwandeln können. 然而,这并不意味着这些工具应该被抛弃。. So ist Kerberos in der Tat ein wichtiges Tool, 在不安全的环境中确保用户的安全.
Wie bereits erwähnt, ist die Implementierung eines Erkennungstools, das Bedrohungsakteure frühzeitig ausbremst, eine wirksame Gegenmaßnahme, 能够确保这个重要的身份验证协议的安全. InsightIDR von Rapid7 kann zum Beispiel kontinuierlich die Benutzeraktivitäten erfassen, 使可疑活动更容易和更快地发现.
它还可以利用外部威胁信息。, 对网络边界外检测至关重要. 这考虑到最近的网络端点的深度 Dark-Webs. Unabhängig davon, für welches Produkt oder welche Lösung sich ein Unternehmen zur Abwehr und Bekämpfung von Kerberoasting und APT-Akteuren entscheidet, sollte man bedenken, dass die Infiltration eines Netzwerks unter der Identität eines Mitarbeiters heute einfacher denn je ist.
Wie wird dies normalerweise durchgeführt? Natürlich durch gestohlene Zugangsdaten. Aus diesem Grund ist es so wichtig, das Verhalten von Benutzern und Entitäten kontinuierlich zu analysieren (User and Entity Behavior Analytics, UEBA)将网络中的活动分配给特定的用户. Wenn sich ein Benutzer ungewöhnlich verhält, können Analysten dies schnell erkennen und untersuchen. 它也可能是一个真正的合作者。, 有意或无意地构成风险.
Erfahren Sie mehr darüber, wie Sie einen Angriff mit der Rapid7-Lösung identifizieren können