SecurityWorldMarket

02-11-2021

Undgå at falde i Kerberoasting-fælden

Af Fredrik Hornell, nordeuropæisk salgsdirektør for Semperis

Fredrik Hornell

For at mindske farerne ved Solarwinds-angrebet udstedte det amerikanske Department of Homeland Security i december 2020 et direktiv, der instruerede alle amerikanske forbundsmyndigheder om at beskytte sig mod Kerberoasting. Det er en velkendt og yderst effektiv metode til at opnå administratorrettigheder til domænet og teknikken har også været forbundet med en række ransomware-angreb.

Kerberoasting er fortsat et af de mest udbredte og effektive angreb mod Microsoft Active Directory (AD), der styrer brugeradgange, og kan derfor hurtigt blive et mareridt for AD-administratorer, der ikke tager Kerberoasting alvorligt.

Kerberoasting 101
Kerberos er en autentifikationsprotokol, som verificerer bruger- og host-identiteter. Det fungerer sådan, at opgaver (tickets) bliver modtaget i Kerberos Key Distribution Center (KDC) og sendes videre til serverne, når der etableres forbindelse. Alle domænekontrollere har en KDC. Via AD giver Ticket Granting Ticket (TGT) brugeren tilladelse til at oprette en Ticket Granting Service (TGS)-opgave, som kan bruges til at få adgang til fælles domæneressourcer, såsom filservere.

På grund af Kerberos’ rolle i autentifikationsprocessen har cyberkriminelle stor interesse i det, og er en af deres foretrukne redskaber til at stramme grebet om deres ofre. Når hackerne først har fået adgang til det ønskede miljø, iværksætter de Kerberoastingen for at stjæle hashes til servicebrugertilladelser. Servicebrugerne er ofte tildelt administratorprivilegier og er i mange tilfælde negligerede og udstyret med svage passwords, der tilmed ikke har en udløbsdato. En af fordelene for de cyberkriminelle er, at de ikke engang behøver at være logget ind med disse privilegerede brugere for at iværksætte angrebet. Så længe de har fået tvunget sig adgang til en tilfældig domænebruger, er der frit slag.

Kerberoasting i praksis
Kerberoasting fungerer i praksis således:

• Efter at have kompromitteret en domænebruger og være blevet autentificeret til AD’et vil hackeren modtage en TGT-opgave fra KDC’en fra den lokale domænekontroller. Herfra efterspørger hackeren en serviceopgave på den service, han har udset sig

• Domænekontrolleren vil nu danne en TGS-opgave, kryptere den med et servicepassword og aflevere den til brugeren. Under normale omstændigheder vil brugeren sende TGS-opgaven til servicen, som dekrypterer den og enten godtager eller forkaster adgangen baseret på, hvorvidt brugeren har de påkrævede privilegier

• Hackeren behøver nødvendigvis ikke engang at tilegne sig adgang til servicen. Han fik allerede, hvad han skulle bruge, da han modtog TGS-opgaven. Med opgaven i sin varetægt har hackeren nu servicekontoens svagt krypterede password hash (husk, at hash’et blev brugt til ar kryptere indholdet af opgaven). Nu kan hackeren blot udtrække password hash’et fra systemhukommelsen ved hjælp af redskaber som Hashcat og John the Ripper. Med det åbne password hash, kan hackeren løfte servicekontoens ophøjede privilegier eller fortsætte med at rekognoscere domænet

Cyberkriminelle har mulighed for at identificere de servicekonti, de har udset sig ved at opremse Service Principal Names (SPN’er) i AD-miljøet. SPN’erne bruges til at tydeliggøre de forskellige services i AD’et, så brugerne nemt kan få øje på dem. Samtlige brugere, der er blevet autentificeret til at få adgang til AD’et kan forespørge en konto med en SPN. Domænebruger-SPN ’er af praktiske årsager særligt sårbare i forhold til Kerberoasting. Host-baserede servicekonti er beskyttet med et tilfældigt genereret password på 128 karakterer og ændres efter 30 dage. Gruppestyrede servicekonti (gMSA) har tilfældige og komplekse passwords på <100 karakterer, som ændres automatisk. SPN’er, der er forbundet til brugerkonti, er derimod forsynet med passwords, der laves af mennesker, hvorfor det er mere sandsynligt, at disse er svagere og lettere at hacke.

Giv Kerberoasting kamp til stregen
Det er besværligt at nedtone Kerberoasting fordi taktikken misbruger selve funktionaliteten af Kerberos. Eksempelvis kan enhver autentificeret domænebruger anmode TGS-opgaver på en service på netværket. Problemet er her, at domænekontrolleren som håndterer anmodningen, ikke tager sig af om brugeren har rettighederne til den service, de efterspørger opgaven på. Det er nemlig servicen, der håndhæver adgangskontrollen – og det er hér, muligheden for et angreb viser sig.

Det betyder dog ikke, at virksomheder er magtesløse over for Kerberoasting. Hvis man kigger på problemet fra et observationssynspunkt, er virksomhederne nødt til at monitorere mistænkelig adfærd, såsom hvis en domænebruger efterspørger en usædvanlig mængde opgaver. Virksomheder kan benytte Kerberos Service Ticket Operations. Det vil dog generere så mange logs, at man risikerer, at outputtet bliver ubrugeligt uden en betydelig indsats med at etablere en baseline for det specifikke miljø.

På grund af den mængde forstyrrelse denne tilgang kan medføre, vil en mere hensigtsmæssig og simpel strategi være at kræve et stærkere password på alle servicekonti. Disse password skal gerne bestå af mindst 30 karakterer og kan roteres jævnligt for at nedsætte risikoen yderligere. Der findes en del redskaber til generering af tilfældige passwords, så egentlig drejer det sig om at holde styr på dem. Det kan man fx gøre ved at benytte en Privileged Access Management løsning.

Derudover skal virksomheder sikre ordentlig monitorering og styring af servicekonti fordi de, qua deres privilegerede adgange, er særligt attraktive for cyberkriminelle. I samme ombæring burde disse konti, såsom administratorer, aldrig være forbundet med SPN.

Trods en sund passwordkultur og kontinuerlig monitorering, skal virksomheder reducere truslerne fra de cyberkriminelle, som bruger den populære Kerberoasting-taktik til at påtvinge sig adgang til AD-miljøet.



Leverandører
Tilbage til toppen