El proceso de autenticación Kerberos implica una serie de pasos para verificar la identidad de los usuarios o servicios que solicitan acceso a una red. Incluye la solicitud de tickets, la validación y el intercambio seguro de claves para garantizar la integridad de la comunicación.
Kerberos distribuye claves utilizando una entidad externa de confianza conocida como Centro de Distribución de Claves (KDC). El KDC comparte de forma segura las claves de sesión entre el cliente y el servidor, impidiendo el acceso a entidades no autorizadas.
Un Kerberos Golden Ticket es un artefacto poderoso y potencialmente malicioso que puede generarse explotando vulnerabilidades en el sistema de autenticación Kerberos. En el contexto de la ciberseguridad, un Golden Ticket se refiere a un Ticket Granting Ticket (TGT) falsificado que concede a un atacante acceso a largo plazo y sin restricciones a una red.
Utilizando un Ticket de Concesión Falsificado (TGT / Golden ticket) o una cuenta comprometida, el atacante puede solicitar acceso a un servicio (SPN) en la red. Este servicio se asocia a una cuenta de servicio con privilegios elevados, por ejemplo una cuenta de servicio SQL. El Centro de Distribución de Claves (KDC) emitirá un ticket de servicio, cifrado con la clave pública de la contraseña de la cuenta de servicio. El atacante puede entonces convertir este ticket de servicio en un hash que puede ser exportado a Hashcat o John The Ripper y luego proceder a descifrar la contraseña offline. Este ataque se basa en una mala higiene de las contraseñas de las cuentas de servicio, la reutilización de contraseñas entre cuentas de servicio, la no caducidad de las contraseñas de las cuentas de servicio e incluso la no eliminación de entradas SPN antiguas en Active Directory.
Para buscar pruebas potenciales de Kerberoasting en su red, un buen punto de partida es el Panel de Kerberoasting de Vectra Recall. Este panel monitoriza las respuestas de tickets con cifrados débiles (RC4) que pueden ser potencialmente crackeados offline. Típicamente, el uso de cifrados débiles debería ser mínimo dentro de tu entorno, como con cualquier ejemplo aquí es posible que tu entorno pueda tener un gran número de peticiones Kerberos RC4 haciendo este panel menos efectivo.
Cuando mires este panel, verás un gráfico superior que muestra todos los usuarios del cifrado débil RC4, este gráfico debería estar vacío, ya que nadie en tu organización está usando este cifrado débil, pero también puede tener este aspecto. Es seguro decir que estas transacciones de Kerberos son todas de casos de negocio legítimos, por lo que debes buscar ocultar estas instancias del gráfico haciendo clic en el icono "-" al lado de cada IP en la leyenda.
Tras ocultar los servidores más frecuentes, debería ver un gráfico como el siguiente, con un valor atípico claro que justifique una investigación.
Haz clic en la IP de este servidor y pulsa el icono "+" para centrarte sólo en esto, y en la parte inferior de este cuadro de mandos, podrás ver rápidamente los clientes que hacen peticiones a este servidor, y si un solo cliente ha hecho un gran número de peticiones contra él, deberías pivotar en otras fuentes de metadatos como LDAP y RPC para determinar si alguna otra actividad sospechosa estaba ocurriendo alrededor del marco de tiempo dado.
Más información sobre nuestras detecciones relacionadas con Kerberoasting:
> Exploración de cuentas Kerberos
Proteger su red contra el kerberoasting requiere una combinación de políticas de contraseñas sólidas, supervisión vigilante y formación continua. Vectra AI proporciona soluciones de seguridad avanzadas que pueden ayudar a detectar actividades sospechosas indicativas de kerberoasting y otras técnicas de robo de credenciales. Póngase en contacto con nosotros para reforzar sus defensas y garantizar la integridad de sus protocolos de autenticación y cuentas de servicio.
El protocolo de autenticación Kerberos es un sistema de autenticación de red que utiliza criptografía de clave secreta para permitir que los nodos que se comunican a través de una red no segura demuestren su identidad entre sí de forma segura. Se utiliza mucho en entornos Windows Active Directory.
Un ataque de kerberoasting implica que un atacante acceda primero a la red como un usuario normal. A continuación, enumera las cuentas de servicio en el Directorio Activo que están registradas con Nombres Principales de Servicio (SPN). El atacante solicita tickets TGS para esas cuentas, que se cifran utilizando la contraseña de la cuenta. Estos tickets pueden descifrarse fuera de línea para descubrir la contraseña en texto plano de la cuenta.
Un ataque kerberoasting exitoso puede conducir al acceso no autorizado a áreas sensibles de la red, violación de datos, movimiento lateral dentro de la red y escalada de privilegios, dependiendo del nivel de acceso que posea la cuenta de servicio comprometida.
Las organizaciones pueden detectar la actividad de kerberoasting mediante la supervisión de un volumen inusual de solicitudes de TGS para cuentas de servicio, especialmente las realizadas por usuarios no administrativos, o mediante la identificación de patrones anormales en el tráfico de red que indiquen solicitudes masivas de tickets.
Las estrategias preventivas incluyen: Implementar contraseñas fuertes y complejas para las cuentas de servicio y cambiarlas regularmente. Limitar el número de cuentas de servicio que tienen registrados Service Principal Names (SPNs). Emplear políticas de bloqueo de cuentas para frustrar los intentos de fuerza bruta. Utilizar Advanced Threat Analytics (ATA) o herramientas similares para supervisar y alertar sobre actividades sospechosas indicativas de kerberoasting.
Aunque la MFA es una medida eficaz para mejorar la seguridad de las cuentas de usuario, los ataques de kerberoasting se dirigen específicamente a cuentas de servicio que normalmente no utilizan la MFA para la autenticación, lo que hace que otras medidas de protección sean más relevantes para defenderse de este tipo de ataques.
La auditoría periódica de contraseñas y el refuerzo de la complejidad de las contraseñas para las cuentas de servicio son defensas críticas contra el kerberoasting. Las contraseñas fuertes y complejas son mucho más difíciles de descifrar, incluso si un atacante obtiene el ticket TGS.
Las organizaciones deben restablecer inmediatamente las contraseñas de cualquier cuenta de servicio comprometida, realizar una auditoría de seguridad exhaustiva para determinar el alcance del acceso obtenido por el atacante, y revisar y reforzar las políticas y prácticas de seguridad para prevenir futuros incidentes.
La formación en materia de seguridad desempeña un papel crucial al informar a los administradores y al personal informático sobre la naturaleza de los ataques de kerberoasting, la importancia de las prácticas de contraseñas seguras para las cuentas de servicio y la necesidad de supervisar atentamente los procesos de autenticación y autorización.
Los futuros desarrollos pueden incluir avances en los mecanismos de cifrado y autenticación que hagan que los tickets Kerberos sean más difíciles de explotar, así como mejoras en las tecnologías de IA y aprendizaje automático para detectar y responder a las solicitudes de autenticación anómalas con mayor eficacia.