Mi az a Kerberoasting, és kell-e aggódnia miatta?

A Kerberos jegyek biztonságosabbá teszik az internetet azáltal, hogy lehetőséget biztosítanak a hálózaton lévő számítógépek és szerverek számára az adatok átadására anélkül, hogy minden lépésnél ellenőrizniük kellene a személyazonosságukat. Ez az egyszeri, bár ideiglenes hitelesítő szerep azonban vonzóvá teszi a Kerberos-jegyeket a titkosításukat feltörő támadók számára.

Mik azok a Kerberos jegyek?

Ha úgy gondolja, hogy a „Kerberos” ismerősen hangzik, akkor igaza van. Ez Hádész kutyájának (más néven Cerberus) görög neve. De Kerberos nem ölebkutya; több feje van és őrzi az alvilág kapuit. Kerberos megakadályozza, hogy a halottak távozzanak, és megakadályozza, hogy a kétségbeesett karakterek kiszabadítsák szeretteiket a zord túlvilágról. Ilyen módon a kutyát hitelesítőnek tekintheti, amely megakadályozza az illetéktelen hozzáférést.

A Kerberos egy hálózati hitelesítési protokoll, amely kriptográfiai kulcsokat használ az ügyfelek (személyi számítógépek) és a számítógépes hálózatokon lévő kiszolgálók közötti kommunikáció ellenőrzésére. A Kerberost a Massachusetts Institute of Technology (MIT) hozta létre, hogy az ügyfelek igazolhassák személyazonosságukat a szerverek felé, amikor adatkérést küldenek. Hasonlóképpen, a szerverek Kerberos jegyeket használnak annak bizonyítására, hogy az elküldött adatok hitelesek, a kívánt forrásból származnak, és nem sérültek.

A Kerberos jegyek alapvetően olyan tanúsítványok, amelyeket egy megbízható harmadik fél (az úgynevezett kulcselosztó központ – röviden KDC) bocsát ki az ügyfelek számára. Az ügyfelek ezt a tanúsítványt az egyedi munkamenetkulccsal együtt bemutatják a kiszolgálónak, amikor az adatkérést kezdeményez. A jegy bemutatása és hitelesítése bizalmat teremt az ügyfél és a szerver között, így nincs szükség minden egyes kérés vagy parancs ellenőrzésére.

Hogyan működnek a Kerberos jegyek?

A Kerberos jegyek hitelesítik a felhasználók hozzáférését a szolgáltatásokhoz. Segítenek abban is, hogy a szerverek részekre bontsák a hozzáférést olyan esetekben, amikor több felhasználó is hozzáfér ugyanahhoz a szolgáltatáshoz. Így a kérések nem szivárognak ki egymásba, és illetéktelenek nem férhetnek hozzá a kiemelt felhasználókra korlátozott adatokhoz.

Például, A Microsoft Kerberost használ hitelesítési protokoll, amikor a felhasználók hozzáférnek a Windows szerverekhez vagy PC operációs rendszerekhez. Tehát amikor egy rendszerindítás után bejelentkezik a számítógépére, az operációs rendszer Kerberos jegyeket használ az ujjlenyomat vagy a jelszó hitelesítésére.

A számítógép ideiglenesen a jegyet a Helyi biztonsági hatóság alrendszer-szolgáltatásának (LSASS) folyamatmemóriájában tárolja az adott munkamenethez. Innentől kezdve az operációs rendszer a gyorsítótárazott jegyet használja a következőhöz egyszeri bejelentkezéses hitelesítések, így nem kell minden alkalommal megadnia biometrikus adatait vagy jelszavát, amikor olyan tevékenységet kell végrehajtania, amely rendszergazdai jogosultságokat igényel.

Nagyobb léptékben a Kerberos jegyeket az internetes hálózati kommunikáció védelmére használják. Ide tartozik például a HTTPS-titkosítás és a felhasználónév-jelszó ellenőrzés a bejelentkezéskor. Kerberos nélkül a hálózati kommunikáció sebezhető lenne a hasonló támadásokkal szemben webhelyek közötti kérés hamisítása (CSRF) és a középső hackek.

Mi is az a Kerberoasting pontosan?

A Kerberoasting egy olyan támadási módszer, amelyben a kiberbűnözők Kerberos-jegyeket lopnak el a szerverekről, és megpróbálják kivonni az egyszerű szöveges jelszókivonatokat. Ennek a támadásnak a lényege a social engineering, hitelesítő adatlopás, és a nyers erejű támadás, mindez egybe gyűjtve. Az első és a második lépésben a támadó egy kliensnek adja ki magát, és Kerberos jegyeket kér a szervertől.

Természetesen a jegy titkosítva van. Ennek ellenére a jegy megszerzése megoldja a két kihívás egyikét a hacker számára. Miután megkapták a Kerberos-jegyet a szervertől, a következő kihívás annak bármilyen szükséges eszközzel történő visszafejtése. A Kerberos jegyeket birtokló hackerek rendkívüli erőfeszítéseket tesznek annak érdekében, hogy feltörjék ezt a fájlt, mert mennyire értékes.

Hogyan működnek a Kerberoasting támadások?

A Kerberoasting két gyakori biztonsági hibát használ ki az aktív könyvtárakban – a rövid, gyenge jelszavakat és a fájlok gyenge titkosítású védelmét. A támadás azzal kezdődik, hogy egy hacker egy felhasználói fiók segítségével Kerberos jegyet kér a KDC-től.

A KDC ezután a várakozásoknak megfelelően titkosított jegyet ad ki. Ahelyett, hogy ezt a jegyet használná a szerveren történő hitelesítéshez, a hacker offline állapotba hozza azt, és brute force technikákkal próbálja feltörni a jegyet. Az ehhez használt eszközök ingyenesek és nyílt forráskódúak, mint például a mimikatz, a Hashcat és a JohnTheRipper. A támadás olyan eszközökkel is automatizálható, mint az invoke-kerberoast és a Rubeus.

A sikeres kerberoasting támadás egyszerű szöveges jelszavakat von ki a jegyből. A támadó ezt követően hitelesítheti a feltört felhasználói fiókból érkező kéréseket a kiszolgálóhoz. Ami még rosszabb, a támadó kihasználhatja az újonnan talált, jogosulatlan hozzáférést adatok ellopására, oldalirányú mozgás az aktív könyvtárban, és állítson be álfiókokat rendszergazdai jogosultságokkal.

Kell-e aggódnia a Kerberoasting miatt?

A Kerberoasting egy népszerű támadás az aktív könyvtárak ellen, ezért aggódnia kell, ha Ön domain rendszergazda vagy kék csapat üzemeltetője. Nincs alapértelmezett tartománykonfiguráció a támadás észlelésére. A legtöbb dolog offline történik. Ha már áldozata lettél ennek, valószínűleg utólag tudni fogod.

Csökkentheti a kitettséget, ha gondoskodik arról, hogy a hálózaton mindenki hosszú, véletlenszerű alfanumerikus karakterekből és szimbólumokból álló jelszavakat használjon. Ezenkívül speciális titkosítást kell használnia, és riasztásokat kell beállítania a domain felhasználóitól érkező szokatlan kérések esetén. Óvakodnia kell a szociális manipulációtól is, hogy megelőzze a Kerberoating-ból induló biztonsági megsértéseket.