Kerberoasting
Información clave
- En los últimos años, el kerberoasting se ha identificado como una técnica utilizada en más del 20% de las pruebas de penetración en redes, lo que indica su popularidad entre los atacantes. (Fuente: Instituto Sans)
- El tiempo medio para descifrar una contraseña kerberoasted se reduce significativamente con el uso de potentes matrices de GPU, lo que pone de manifiesto la necesidad de contar con políticas de contraseñas sólidas. (Fuente: Hashcat)
¿Cómo funciona Kerberos?
El proceso de autenticación Kerberos implica una serie de pasos para verificar la identidad de los usuarios o servicios que solicitan acceso a una red. Incluye la solicitud de tickets, la validación y el intercambio seguro de claves para garantizar la integridad de la comunicación.
Kerberos distribuye claves utilizando una entidad externa de confianza conocida como Centro de Distribución de Claves (KDC). El KDC comparte de forma segura las claves de sesión entre el cliente y el servidor, impidiendo el acceso a entidades no autorizadas.
Ataques con el Boleto Dorado
Un Kerberos Golden Ticket es un artefacto poderoso y potencialmente malicioso que puede generarse explotando vulnerabilidades en el sistema de autenticación Kerberos. En el contexto de la ciberseguridad, un Golden Ticket se refiere a un Ticket Granting Ticket (TGT) falsificado que concede a un atacante acceso a largo plazo y sin restricciones a una red.
Utilizando un Ticket de Concesión Falsificado (TGT / Golden ticket) o una cuenta comprometida, el atacante puede solicitar acceso a un servicio (SPN) en la red. Este servicio se asocia a una cuenta de servicio con privilegios elevados, por ejemplo una cuenta de servicio SQL. El Centro de Distribución de Claves (KDC) emitirá un ticket de servicio, cifrado con la clave pública de la contraseña de la cuenta de servicio. El atacante puede entonces convertir este ticket de servicio en un hash que puede ser exportado a Hashcat o John The Ripper y luego proceder a descifrar la contraseña offline. Este ataque se basa en una mala higiene de las contraseñas de las cuentas de servicio, la reutilización de contraseñas entre cuentas de servicio, la no caducidad de las contraseñas de las cuentas de servicio e incluso la no eliminación de entradas SPN antiguas en Active Directory.
Caza de Kerberoasting
Para buscar pruebas potenciales de Kerberoasting en su red, un buen punto de partida es el Panel de Kerberoasting de Vectra Recall. Este panel monitoriza las respuestas de tickets con cifrados débiles (RC4) que pueden ser potencialmente crackeados offline. Típicamente, el uso de cifrados débiles debería ser mínimo dentro de tu entorno, como con cualquier ejemplo aquí es posible que tu entorno pueda tener un gran número de peticiones Kerberos RC4 haciendo este panel menos efectivo.
Cuando mires este panel, verás un gráfico superior que muestra todos los usuarios del cifrado débil RC4, este gráfico debería estar vacío, ya que nadie en tu organización está usando este cifrado débil, pero también puede tener este aspecto. Es seguro decir que estas transacciones de Kerberos son todas de casos de negocio legítimos, por lo que debes buscar ocultar estas instancias del gráfico haciendo clic en el icono "-" al lado de cada IP en la leyenda.
Tras ocultar los servidores más frecuentes, debería ver un gráfico como el siguiente, con un valor atípico claro que justifique una investigación.
Haz clic en la IP de este servidor y pulsa el icono "+" para centrarte sólo en esto, y en la parte inferior de este cuadro de mandos, podrás ver rápidamente los clientes que hacen peticiones a este servidor, y si un solo cliente ha hecho un gran número de peticiones contra él, deberías pivotar en otras fuentes de metadatos como LDAP y RPC para determinar si alguna otra actividad sospechosa estaba ocurriendo alrededor del marco de tiempo dado.
Más información sobre nuestras detecciones relacionadas con Kerberoasting:
> Exploración de cuentas Kerberos
Proteger su red contra el kerberoasting requiere una combinación de políticas de contraseñas sólidas, supervisión vigilante y formación continua. Vectra AI proporciona soluciones de seguridad avanzadas que pueden ayudar a detectar actividades sospechosas indicativas de kerberoasting y otras técnicas de robo de credenciales. Póngase en contacto con nosotros para reforzar sus defensas y garantizar la integridad de sus protocolos de autenticación y cuentas de servicio.
Más fundamentos de ciberseguridad
Preguntas frecuentes
¿Qué es el protocolo de autenticación Kerberos?
El protocolo de autenticación Kerberos es un sistema de autenticación de red que utiliza criptografía de clave secreta para permitir que los nodos que se comunican a través de una red no segura demuestren su identidad entre sí de forma segura. Se utiliza mucho en entornos Windows Active Directory.
¿Cómo funciona un ataque de kerberoasting?
Un ataque de kerberoasting implica que un atacante acceda primero a la red como un usuario normal. A continuación, enumera las cuentas de servicio en el Directorio Activo que están registradas con Nombres Principales de Servicio (SPN). El atacante solicita tickets TGS para esas cuentas, que se cifran utilizando la contraseña de la cuenta. Estos tickets pueden descifrarse fuera de línea para descubrir la contraseña en texto plano de la cuenta.
¿Cuáles son las implicaciones de un ataque kerberoasting exitoso?
Un ataque kerberoasting exitoso puede conducir al acceso no autorizado a áreas sensibles de la red, violación de datos, movimiento lateral dentro de la red y escalada de privilegios, dependiendo del nivel de acceso que posea la cuenta de servicio comprometida.
¿Cómo pueden las organizaciones detectar la actividad de kerberoasting?
Las organizaciones pueden detectar la actividad de kerberoasting mediante la supervisión de un volumen inusual de solicitudes de TGS para cuentas de servicio, especialmente las realizadas por usuarios no administrativos, o mediante la identificación de patrones anormales en el tráfico de red que indiquen solicitudes masivas de tickets.
¿Qué estrategias pueden ayudar a prevenir los ataques de kerberoasting?
Las estrategias preventivas incluyen: Implementar contraseñas fuertes y complejas para las cuentas de servicio y cambiarlas regularmente. Limitar el número de cuentas de servicio que tienen registrados Service Principal Names (SPNs). Emplear políticas de bloqueo de cuentas para frustrar los intentos de fuerza bruta. Utilizar Advanced Threat Analytics (ATA) o herramientas similares para supervisar y alertar sobre actividades sospechosas indicativas de kerberoasting.
¿Puede la autenticación multifactor (MFA) mitigar el riesgo de kerberoasting?
Aunque la MFA es una medida eficaz para mejorar la seguridad de las cuentas de usuario, los ataques de kerberoasting se dirigen específicamente a cuentas de servicio que normalmente no utilizan la MFA para la autenticación, lo que hace que otras medidas de protección sean más relevantes para defenderse de este tipo de ataques.
¿Qué importancia tiene la auditoría periódica de las contraseñas y su complejidad en las cuentas de servicio?
La auditoría periódica de contraseñas y el refuerzo de la complejidad de las contraseñas para las cuentas de servicio son defensas críticas contra el kerberoasting. Las contraseñas fuertes y complejas son mucho más difíciles de descifrar, incluso si un atacante obtiene el ticket TGS.
¿Cómo deben responder las organizaciones ante un ataque de kerberoasting presunto o confirmado?
Las organizaciones deben restablecer inmediatamente las contraseñas de cualquier cuenta de servicio comprometida, realizar una auditoría de seguridad exhaustiva para determinar el alcance del acceso obtenido por el atacante, y revisar y reforzar las políticas y prácticas de seguridad para prevenir futuros incidentes.
¿Qué papel desempeña la formación en materia de seguridad en la prevención del kerberoasting?
La formación en materia de seguridad desempeña un papel crucial al informar a los administradores y al personal informático sobre la naturaleza de los ataques de kerberoasting, la importancia de las prácticas de contraseñas seguras para las cuentas de servicio y la necesidad de supervisar atentamente los procesos de autenticación y autorización.
¿Qué desarrollos futuros podrían afectar a la prevalencia o detección de los ataques kerberoasting?
Los futuros desarrollos pueden incluir avances en los mecanismos de cifrado y autenticación que hagan que los tickets Kerberos sean más difíciles de explotar, así como mejoras en las tecnologías de IA y aprendizaje automático para detectar y responder a las solicitudes de autenticación anómalas con mayor eficacia.