O que é um ataque Kerberoasting?

O Kerberoasting está se tornando cada vez mais comum. Os analistas de segurança do X-Force da IBM observaram um aumento de 100% nos incidentes Kerberoasting entre 2022 e 2023, de acordo com o X-Force Threat Intelligence Index. Esse crescimento faz parte de uma ampla tendência de hackers que abusam de contas válidas para violar redes. As melhorias na segurança da rede e de endpoint tornaram os ataques diretos muito mais difíceis de realizar.

Alguns fatores adicionais impulsionam a popularidade do Kerberoasting. Muitos serviços de diretórios e sistemas de computação em nuvem usam o Kerberos, o que significa que os hackers podem aproveitar o protocolo para obter acesso à infraestrutura crítica da rede.

Em particular, o Kerberos é padrão no Microsoft Windows Active Directory, e muitos ataques Keberoasting têm como alvo domínios do Active Directory. Além disso, contas de serviço criadas manualmente tendem a ter senhas fracas e privilégios elevados, o que as torna alvos atraentes. 

Os ataques Kerberoasting são difíceis de detectar porque aproveitam o design pretendido do Kerberos. A parte mais suspeita de um ataque Kerberoasting (descriptografar os tickets) acontece offline. Os profissionais de cibersegurança não podem erradicar completamente a possibilidade do Kerberoasting, mas podem implementar defesas proativas para mitigar a ameaça.

O Kerberoasting costuma ser um meio de escalada de privilégios, não uma tática inicial de invasão. Depois que um hacker obtém o controle de uma conta de usuário de domínio para entrar na rede, ele usa o Keberoasting para expandir seu alcance.

A maioria dos ataques Kerberoasting segue o mesmo método básico:

1. Um hacker usa uma conta comprometida para obter tickets de serviço do Kerberos. 
   
2. O hacker leva esses tickets para um computador de sua propriedade fora da rede que está atacando.
   
3. O hacker descriptografa os tickets e descobre as senhas das contas de serviço que executam os serviços associados a cada ticket.
   
4. O hacker faz login na rede usando as credenciais das contas de serviço, abusando de suas permissões para se mover pela rede e causar danos.

Para entender por que o Keberoasting funciona, é preciso primeiro entender o básico do Kerberos.

O Kerberos é um protocolo de autenticação que permite que usuários e serviços (como aplicativos, bancos de dados e servidores) se autentiquem e comuniquem com segurança no Active Directory e em outros domínios.

O processo de autenticação do Kerberos usa um sistema de tickets. No centro desse sistema está o centro de distribuição de chaves (KDC), que opera no controlador de domínio da rede.

O KDC é essencialmente o guardião do domínio. Ele autentica usuários e serviços na rede e emite tickets para eles. Os tickets são credenciais que comprovam a identidade dos usuários e permitem que eles acessem outros recursos na rede. Os usuários e os serviços trocam esses tickets para se verificarem mutuamente.

Quando um usuário faz login em um domínio, ele primeiro se autentica no KDC e recebe um ticket de concessão de ticket (TGT). Este TGT permite ao usuário solicitar acesso aos serviços do domínio.

Quando o usuário deseja acessar um serviço, ele envia uma solicitação ao serviço de concessão de tickets (TGS) do KDC. O TGT acompanha essa solicitação para garantir a identidade do usuário.

Em resposta, o KDC emite um ticket de serviço, também chamado de "ticket TGS", que é criptografado usando a senha da conta de serviço. Isso acontece para garantir que apenas o serviço de destino possa validar a solicitação de acesso do usuário. O usuário apresenta esse ticket de serviço ao serviço de destino, que autentica o usuário e inicia uma sessão segura.

Existem alguns detalhes no projeto do Kerberos que o deixam vulnerável ao Kerberoasting.

Primeiro, o KDC não verifica se os usuários estão autorizados a acessar um serviço. Qualquer usuário pode solicitar um tíquete para qualquer serviço. Cabe aos serviços individuais impor as permissões e bloquear usuários não autorizados. Portanto, os hackers não precisam se apoderar das contas dos administradores de domínio ou de outros usuários privilegiados. Qualquer conta comprometida funciona.

Em segundo lugar, cada serviço em um domínio do Kerberos deve ser associado a uma conta de serviço responsável por executar o serviço no domínio. As contas de serviço permitem que o Kerberos autentique serviços, emita tickets de serviço e imponha controles de segurança. Essas contas também representam um alvo para os hackers, pois costumam ter privilégios elevados.

Em terceiro lugar, os tickets do Kerberos são criptografados, usando os hashes de senha das contas associadas como chaves. É importante ressaltar que, para o Kerberoasting, os tickets de serviço usam os hashes de senha das contas de serviço relevantes.

As senhas de contas são chaves de criptografia simétricas convenientes porque apenas o KDC e o serviço relacionado devem conhecer essa senha. Mas, como os tickets são criptografados usando hashes de senha, os hackers podem fazer engenharia reversa de senhas de contas de serviço quebrando a criptografia de um ticket.

Além disso, as contas de serviço configuradas manualmente geralmente têm o sinalizador "a senha nunca expira" ativado. Em redes de longa duração, isso pode significar que as contas de serviço usam senhas muito antigas, que seguem diretrizes de segurança desatualizadas, tornando-as fáceis de quebrar.

Embora o Kerberoasting normalmente exija uma conta de usuário de domínio comprometida, o pesquisador de segurança Charlie Clark descobriu uma técnica de ataque que permite que hackers roubem tickets de serviço sem sequestrar uma conta nas condições certas.¹

Lembre-se de que, para que um usuário possa receber tickets de serviço, ele deve se autenticar no KDC e obter um TGT que permita solicitar acesso ao serviço. Usando a ferramenta de exploração Kerberos Rubeus, Clark conseguiu modificar essa solicitação de autenticação inicial para solicitar um ticket de serviço em vez de um TGT. Funcionou, e o KDC respondeu com um ticket de serviço.

Esse método tem aplicações limitadas. Para que a técnica funcione, o hacker deve fingir enviar a solicitação de autenticação de uma conta que não exige pré-autenticação no Kerberos. As contas que exigem pré-autenticação, que são a maioria, precisam de credenciais de usuário para enviar a solicitação de autenticação inicial que Clark modificou. Ainda assim, essa técnica abre um caminho potencial para invasores.

Os hackers usaram técnicas de Kerberoasting em alguns dos ataques cibernéticos mais significativos dos últimos anos.

No ataque de 2020 à SolarWinds, os hackers do estado russo espalharam malware disfarçando-o como uma atualização legítima da plataforma de gerenciamento de infraestrutura Orion da SolarWinds. Os hackers violaram várias empresas e agências governamentais, incluindo os Departamentos de Estado e de Justiça dos EUA. De acordo com a Mitre, os hackers usaram o Kerberoasting para aumentar seus privilégios em sistemas comprometidos^.2

Da mesma forma, hackers associados ao ransomware Akira frequentemente usam Kerberoasting para expandir seu alcance e manter o acesso às redes que violam. Em abril de 2024, o Akira atingiu 250 organizações em todo o mundo, extorquindo um total de US$ 42 milhões em pagamentos de resgate.³

Embora os ataques de golden tickets também tenham como alvo os processos de autenticação Kerberos, eles diferem do Keberoasting.

No Kerberoasting, hackers roubam e quebram tickets para descobrir senhas e assumir contas de serviço.

Em um ataque de golden ticket, um hacker primeiro obtém privilégios de nível de administrador em um domínio. Isso permite que ele acesse a senha da conta krbtgt, que é a conta usada pelo KDC para criptografar TGTs. O hacker usa esses privilégios para criar tickets Kerberos falsos, que permitem que ele finja ser qualquer usuário e obtenha acesso praticamente irrestrito aos recursos da rede.

Os ataques Kerberoasting são difíceis de detectar porque os invasores passam grande parte do tempo se disfarçando de contas legítimas. Suas solicitações de tickets se misturam com as reais, e a quebra de senha real acontece fora da rede.

Dito isso, existem ferramentas e práticas que as organizações podem usar para reduzir as chances de um ataque bem-sucedido e interceptar melhor o Kerberoasting em andamento.

Como os ataques Kerberoasting assumem o controle das contas de domínio, proteger essas contas com controles aprimorados do IAM pode ajudar a impedir algumas violações.

Políticas e práticas de senhas fortes, incluindo soluções centralizadas de gerenciamento de senhas, podem dificultar a descoberta de senhas por hackers.⁴ O framework MITRE ATT&CK, por exemplo, recomenda que as senhas das contas de serviço tenham pelo menos 25 caracteres de comprimento, sejam suficientemente complexas e sejam alteradas regularmente.⁴

No Active Directory, as organizações podem usar contas de serviço gerenciadas por grupo. Essas são contas de serviço que geram, gerenciam e alteram senhas regularmente de forma automática, para que os administradores não precisem gerenciar senhas manualmente.

A autenticação forte, como a autenticação adaptativa ou multifator (MFA), também pode ajudar a proteger as contas de usuário contra roubo. Dito isso, muitas vezes é desafiador e ineficiente usar a MFA para contas de serviço.

As ferramentas de gerenciamento de acesso privilegiado podem ajudar a fornecer segurança extra para as credenciais de contas privilegiadas, como contas de serviço Kerberos e outros destinos altamente valiosos.

Ao limitar os privilégios das contas de serviço às permissões necessárias, as organizações podem minimizar os danos que os hackers podem causar ao comprometer essas contas.

Além disso, as contas de serviço podem ser limitadas a logons não interativos e apenas em serviços e sistemas específicos.

As solicitações de tickets mal-intencionadas geralmente se misturam às legítimas, mas os hackers podem deixar sinais reveladores. Por exemplo, uma conta que solicita muitos tickets para muitos serviços de uma só vez pode estar realizando um ataque Kerberoasting.

Logs de eventos como o Visualizador de Eventos do Windows ou um sistema de gerenciamento de eventos e informações de segurança (SIEM) podem ajudar as equipes de segurança a detectar atividades suspeitas. Ferramentas que monitoram usuários, como uma solução de análise de dados de comportamento do usuário (UBA), podem ajudar a detectar hackers que sequestraram contas legítimas.

As equipes de segurança podem detectar mais atividades de ameaças alinhando as ferramentas de monitoramento a seus sistemas de informações. Por exemplo, as ferramentas podem ser configuradas para que qualquer tentativa de uma conta de serviço de fazer logon fora de seu escopo predefinido acione um alerta e exija investigação.

Muitas instâncias do Kerberos ainda são compatíveis com o algoritmo de criptografia RC4. No entanto, esse padrão de criptografia mais antigo é relativamente fácil de ser quebrado pelos hackers.

Ativar um tipo de criptografia mais forte, como o AES, pode dificultar a quebra de tickets por hackers.

Algumas organizações criam honeytokens, contas de domínio falsas que devem ser comprometidas. Quando os hackers atacam um honeytoken, um alerta é gerado automaticamente para que a equipe de segurança possa agir.

Os honeytokens são projetados para desviar a atenção de contas reais, muitas vezes parecendo ter credenciais fracas e altos privilégios.