Descubra las lagunas en la seguridad de su identidad Microsoft.
Reserve hoy mismo un análisis de las deficiencias en la exposición a la identidad.
Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Técnica de ataque

Kerberoasting

El protocolo Kerberos reduce el riesgo de contraseñas reutilizadas y poco seguras, pero puede exponerle a ataques a través de Kerberoasting . Esto es lo que necesitas saber sobre esta técnica de ataque común.

Definición
Cómo funciona
Por qué lo utilizan los atacantes
Detección
Preguntas frecuentes
Definición

¿Qué es Kerberoasting?

Kerberoasting es una técnica de ataque dirigida a Kerberos, un protocolo de autenticación que utiliza criptografía de clave simétrica y un centro de distribución de claves (KDC) para verificar la identidad de los usuarios.

Kerberoasting Los ataques comienzan cuando un usuario de dominio autenticado solicita un ticket de servicio para un nombre principal de servicio (SPN), que sirve como identificador único.

El atacante extrae el ticket de servicio, que está cifrado con el hash de la contraseña de la cuenta de servicio afiliada. A continuación, intenta descifrar la contraseña en texto plano.

Cómo funciona

¿Cómo funciona Kerberoasting ?

Kerberoasting funcionan explotando el token de autenticación del ticket-granting ticket (TGT) emitido por el KDC, que se utiliza para solicitar tokens de acceso al servicio Kerberos ticket-granting service (TGS). En pocas palabras: El protocolo Kerberos permite autenticar cuentas de usuario de dominio sin tener que pedir a la gente que vuelva a introducir o almacenar contraseñas constantemente, y los atacantes disponen de herramientas especializadas para explotarlo. Para ello:

  1. Enumeración de cuentas de servicio: El atacante, que ya posee un punto de apoyo en la red, enumera las cuentas de servicio. Suelen ser cuentas con SPN registrados en Active Directory.
  2. Solicitud de tickets: El atacante solicita un ticket de servicio (TGS) para las cuentas de servicio identificadas.
  3. Ticket Granting: El controlador de dominio emite un ticket de Ticket Granting Service (TGS) cifrado con el hash de la contraseña de la cuenta de servicio.
  4. Extracción de tickets cifrados: El protocolo Kerberos devuelve un ticket cifrado, que incluye datos cifrados con el hash NTLM de la cuenta de servicio.
  5. Descifrado fuera de línea: El atacante utiliza herramientas como John the Ripper o Hashcat para descifrar el hash de la contraseña y revelar las contraseñas en texto plano.

El proceso Kerberoasting
Por qué lo utilizan los atacantes

Por qué los atacantes utilizan Kerberoasting

Los atacantes utilizan Kerberoasting como técnica para obtener las contraseñas con hash de las cuentas de servicio dentro de un entorno de Microsoft Active Directory. Aprovechando el funcionamiento de la autenticación Kerberos, los atacantes pueden extraer estos hashes de contraseñas e intentar descifrarlos sin conexión. Si logran descifrar estos hashes, los atacantes pueden obtener privilegios elevados, lo que les permite moverse lateralmente dentro de la red, acceder a datos confidenciales o comprometer aún más el sistema.

Estas son las razones por las que los atacantes utilizan Kerberoasting:

Escalada de privilegios

  • Acceso a cuentas con privilegios elevados: Las cuentas de servicio suelen tener permisos elevados. Obtener sus credenciales permite a los atacantes realizar acciones que requieren privilegios superiores.
  • Movimiento lateral: Con acceso a cuentas de servicio, los atacantes pueden moverse a través de diferentes sistemas dentro de la red, ampliando su alcance.

Explotación furtiva

  • Bajo riesgo de detección: Kerberoasting puede ser ejecutado por cualquier usuario de dominio autenticado sin activar alertas de seguridad inmediatas porque solicitar tickets de servicio es un comportamiento estándar.
  • Descifrado de contraseñas sin conexión: Dado que el descifrado de contraseñas se realiza offline, evita ser detectado por las herramientas de monitorización de red.

Explotación de prácticas de seguridad deficientes

  • Contraseñas débiles o que no se cambian: Las contraseñas de las cuentas de servicio suelen ser débiles o no se cambian con regularidad, lo que las hace susceptibles de ser descifradas.
  • Configuraciones erróneas: Las cuentas y permisos mal configurados pueden facilitar los ataques a Kerberoasting .

No se necesitan privilegios especiales

  • Accesible por usuarios normales: Cualquier usuario con acceso al dominio puede solicitar tickets de servicio, lo que lo convierte en un vector de ataque ampliamente accesible.
  • Eludir las restricciones de la red: Los atacantes no necesitan acceso directo al controlador de dominio o a los servidores sensibles para realizar Kerberoasting.
Detección de plataformas

Cómo detectar los ataques Kerberoasting

Para proteger su organización contra los ataques de Kerberoasting , la detección temprana es clave. Además de supervisar patrones de tráfico y solicitudes de tickets de Kerberos inusuales, utilice detecciones basadas en el comportamiento para identificar anomalías en las solicitudes reales. 

Vectra AI ofrece dos tipos de detecciones Kerberoasting : 

  • La detección SPN Sweep se centra en identificar intentos de enumerar Service Principal Names (SPNs) dentro de su entorno Active Directory. Esto le muestra cuándo los atacantes podrían estar recopilando información sobre las cuentas de servicio que pueden atacar.
  • La detección de reducción de cifrado busca intentos de solicitar vales Kerberos utilizando tipos de cifrado más débiles, como el cifrado RC4. Esto le muestra cuándo es probable que los atacantes estén manipulando el sistema para generar tickets más fáciles de descifrar.

‍La detecciónAccount Scan identifica los intentos de consultar el servicio de autenticación Kerberos en busca de cuentas de usuario válidas - un precursor común de Kerberoasting.

Detección
Kerberoasting: Barrido SPN
Más información
Detección
Kerberoasting: Solicitud de cifrado débil
Más información
Detección
Kerberoasting: Respuesta de cifrado débil dirigida
Más información
Detección
Barrido Kerberos
Más información
Explorar todas las detecciones

Proteja su red con detecciones avanzadas

Kerberoasting es una de las docenas de detecciones avanzadas basadas en IA disponibles en la plataforma Vectra AI , que cubre el 90% de las técnicas relevantes de MITRE ATT&CK .

Explorar la plataforma
Más información

Preguntas frecuentes