Kerberoasting

¿Cómo funciona Kerberos?

El proceso de autenticación Kerberos implica una serie de pasos para verificar la identidad de los usuarios o servicios que solicitan acceso a una red. Incluye la solicitud de tickets, la validación y el intercambio seguro de claves para garantizar la integridad de la comunicación.

Kerberos distribuye claves utilizando una entidad externa de confianza conocida como Centro de Distribución de Claves (KDC). El KDC comparte de forma segura las claves de sesión entre el cliente y el servidor, impidiendo el acceso a entidades no autorizadas.

Ataques con el Boleto Dorado

Un Kerberos Golden Ticket es un artefacto poderoso y potencialmente malicioso que puede generarse explotando vulnerabilidades en el sistema de autenticación Kerberos. En el contexto de la ciberseguridad, un Golden Ticket se refiere a un Ticket Granting Ticket (TGT) falsificado que concede a un atacante acceso a largo plazo y sin restricciones a una red.

Utilizando un Ticket de Concesión Falsificado (TGT / Golden ticket) o una cuenta comprometida, el atacante puede solicitar acceso a un servicio (SPN) en la red. Este servicio se asocia a una cuenta de servicio con privilegios elevados, por ejemplo una cuenta de servicio SQL. El Centro de Distribución de Claves (KDC) emitirá un ticket de servicio, cifrado con la clave pública de la contraseña de la cuenta de servicio. El atacante puede entonces convertir este ticket de servicio en un hash que puede ser exportado a Hashcat o John The Ripper y luego proceder a descifrar la contraseña offline. Este ataque se basa en una mala higiene de las contraseñas de las cuentas de servicio, la reutilización de contraseñas entre cuentas de servicio, la no caducidad de las contraseñas de las cuentas de servicio e incluso la no eliminación de entradas SPN antiguas en Active Directory.

A la caza de Kerberoasting

Para buscar pruebas potenciales de Kerberoasting en su red, un buen punto de partida es Vectra Recall's Kerberoasting Dashboard. Este panel monitoriza las respuestas a tickets con cifrados débiles (RC4) que pueden ser potencialmente crackeados offline. Típicamente, el uso de cifrados débiles debería ser mínimo dentro de tu entorno, como con cualquier ejemplo aquí es posible que tu entorno pueda tener un gran número de peticiones Kerberos RC4 haciendo este panel menos efectivo.

Cuando mires este panel, verás un gráfico superior que muestra todos los usuarios del cifrado débil RC4, este gráfico debería estar vacío, ya que nadie en tu organización está usando este cifrado débil, pero también puede tener este aspecto. Es seguro decir que estas transacciones de Kerberos son todas de casos de negocio legítimos, por lo que debes buscar ocultar estas instancias del gráfico haciendo clic en el icono "-" al lado de cada IP en la leyenda.

Tras ocultar los servidores más frecuentes, debería ver un gráfico como el siguiente, con un valor atípico claro que justifique una investigación.

Haz clic en la IP de este servidor y pulsa el icono "+" para centrarte sólo en esto, y en la parte inferior de este cuadro de mandos, podrás ver rápidamente los clientes que hacen peticiones a este servidor, y si un solo cliente ha hecho un gran número de peticiones contra él, deberías pivotar en otras fuentes de metadatos como LDAP y RPC para determinar si alguna otra actividad sospechosa estaba ocurriendo alrededor del marco de tiempo dado.

Más información sobre nuestras detecciones relacionadas con Kerberoasting:

> Exploración de cuentas Kerberos

> Barrido brusco de Kerberos

Proteger su red contra el kerberoasting requiere una combinación de políticas de contraseñas sólidas, supervisión vigilante y formación continua. Vectra AI proporciona soluciones de seguridad avanzadas que pueden ayudar a detectar actividades sospechosas indicativas de kerberoasting y otras técnicas de robo de credenciales. Póngase en contacto con nosotros para reforzar sus defensas y garantizar la integridad de sus protocolos de autenticación y cuentas de servicio.