Apa itu serangan Kerberoasting?

Kerberoasting kian marak terjadi. Analis keamanan X-Force dari IBM melihat adanya peningkatan 100% dalam insiden Kerberoasting antara tahun 2022 dan 2023, menurut X-Force Threat Intelligence. Pertumbuhan ini merupakan bagian dari tren luas peretas yang menyalahgunakan akun yang valid untuk menembus jaringan. Peningkatan keamanan jaringan dan titik akhir telah membuat serangan langsung jauh lebih sulit dilakukan.

Beberapa faktor tambahan memicu popularitas Kerberoasting. Banyak layanan direktori dan sistem komputasi cloud menggunakan Kerberos, yang berarti peretas dapat memanfaatkan protokol ini untuk mendapatkan akses ke infrastruktur jaringan yang penting.

Secara khusus, Kerberos adalah standar di Microsoft Windows Active Directory, dan banyak serangan Keberoasting yang menargetkan domain Active Directory. Selain itu, akun layanan yang dibuat secara manual biasanya memiliki kata sandi yang lemah dan hak akses yang tinggi, membuat mereka menjadi target yang menarik.

Serangan Kerberoasting sulit dideteksi karena memanfaatkan desain yang dimaksudkan Kerberos. Bagian paling mencurigakan dari serangan Kerberoasting, yaitu mendekripsi tiket curian, terjadi secara offline. Tenaga profesional keamanan siber tidak dapat sepenuhnya menghilangkan kemungkinan Kerberoasting, tetapi mereka dapat menerapkan pertahanan proaktif untuk mengurangi ancaman.

Kerberoasting biasanya merupakan sarana eskalasi hak istimewa daripada taktik pembobolan awal. Setelah seorang peretas mendapatkan akses ke akun pengguna domain untuk masuk ke jaringan, mereka menggunakan Keberoasting untuk memperluas jangkauannya.

Sebagian besar serangan Kerberoasting mengikuti metode dasar yang sama:

1. Seorang peretas menggunakan akun yang disusupi untuk mendapatkan tiket layanan Kerberos. 
   
2. Peretas membawa tiket ini ke komputer yang mereka miliki di luar jaringan yang mereka serang. 
   
3. Peretas mendekripsi tiket dan mengungkap kata sandi akun layanan yang menjalankan layanan yang terkait dengan setiap tiket.
   
4. Peretas masuk ke jaringan menggunakan kredensial akun layanan, menyalahgunakan izin mereka untuk bergerak melalui jaringan dan menyebabkan kerusakan.

Untuk memahami bagaimana Keberoasting bekerja, seseorang harus terlebih dahulu memahami dasar-dasar Kerberos.

Kerberos adalah protokol autentikasi yang memungkinkan pengguna dan layanan (seperti aplikasi, basis data, dan server) mengautentikasi dan berkomunikasi dengan aman di dalam Active Directory dan domain lainnya.

Proses otentikasi Kerberos menggunakan sistem tiket. Di inti dari sistem ini terdapat pusat distribusi kunci (KDC), yang berjalan pada pengontrol domain jaringan.

KDC pada dasarnya adalah penjaga gerbang domain. Ini mengotentikasi pengguna dan layanan di jaringan dan mengeluarkan tiket mereka. Tiket adalah kredenSIAL yang membuktikan identitas pengguna dan memungkinkan mereka mengakses sumber daya lain di jaringan. Pengguna dan layanan saling memutuskan tiket ini untuk memverifikasi identitas masing-masing.

Ketika pengguna masuk ke domain, mereka terlebih dahulu melakukan otentikasi dengan KDC dan menerima tiket pemberian tiket (TGT). TGT ini memungkinkan pengguna untuk meminta akses ke layanan domain. 

Ketika pengguna ingin mengakses layanan, mereka mengirim permintaan ke layanan pemberian tiket (TGS) KDC. TGT menyertai permintaan ini untuk menjamin identitas pengguna.

Sebagai tanggapan, KDC mengeluarkan tiket layanan, yang juga disebut “tiket TGS”, yang dienkripsi menggunakan kata sandi akun layanan. Ini terjadi untuk memastikan bahwa hanya layanan target yang dapat memvalidasi permintaan akses pengguna. Pengguna menunjukkan tiket layanan ini ke layanan target, yang mengautentikasi pengguna dan memulai sesi yang aman.

Ada beberapa detail desain Kerberos yang membuatnya terbuka terhadap Kerberoasting.

Pertama, KDC tidak memeriksa apakah pengguna memiliki izin untuk mengakses suatu layanan. Setiap pengguna dapat meminta tiket untuk layanan apa pun. Terserah pada masing-masing layanan untuk menegakkan izin dan memblokir pengguna yang tidak sah. Oleh karena itu, peretas tidak perlu menyita akun admin domain atau pengguna istimewa lainnya. Akun apa pun yang disusupi dapat berfungsi.

Kedua, setiap layanan dalam domain Kerberos harus dikaitkan dengan akun layanan yang bertanggung jawab untuk menjalankan layanan pada domain tersebut. Akun layanan memungkinkan Kerberos untuk mengotentikasi layanan, mengeluarkan tiket layanan, dan menegakkan kontrol keamanan. Akun ini juga menjadi target peretas, karena sering memiliki hak akses yang tinggi.

Ketiga, tiket Kerberos dienkripsi, menggunakan hash kata sandi akun terkait sebagai kunci. Penting untuk Kerberoasting, tiket layanan menggunakan hash kata sandi dari akun layanan yang relevan.

Kata sandi akun adalah kunci enkripsi simetris yang mudah digunakan karena hanya KDC dan layanan terkait yang mengetahui kata sandi tersebut. Namun, karena tiket dienkripsi menggunakan hash kata sandi, peretas dapat merekayasa balik kata sandi akun layanan dengan memecahkan enkripsi tiket.

Selain itu, akun layanan yang dikonfigurasi secara manual sering kali mengaktifkan penandaan “kata sandi tidak pernah kedaluwarsa”. Di jaringan yang sudah lama ada, hal ini dapat berarti bahwa akun layanan menggunakan kata sandi yang sangat tua yang mengikuti pedoman keamanan yang sudah ketinggalan waktu, sehingga mudah untuk dipatahkan.

Meskipun Kerberoasting biasanya membutuhkan akun pengguna domain yang disusupi, peneliti keamanan Charlie Clark menemukan teknik serangan yang memungkinkan peretas mencuri tiket layanan tanpa membajak akun dalam kondisi yang tepat.¹

Ingatlah bahwa sebelum pengguna dapat menerima tiket layanan, mereka harus mengautentikasi dengan KDC dan mendapatkan TGT yang memungkinkan mereka untuk meminta akses layanan. Dengan menggunakan alat eksploitasi Kerberos, Rubeus, Clark dapat memodifikasi permintaan otentikasi awal ini sehingga meminta tiket layanan dan bukan TGT. Itu berhasil, dan KDC menanggapi dengan tiket layanan.

Metode ini memang memiliki aplikasi terbatas. Agar teknik ini berhasil, peretas harus berpura-pura mengirim permintaan autentikasi dari akun yang tidak memerlukan autentikasi awal di Kerberos. Akun yang memerlukan autentikasi awal, yang sebagian besar memerlukannya, memerlukan kredensial pengguna bahkan untuk mengirimkan permintaan autentikasi awal yang dimodifikasi oleh Clark. Namun, teknik ini membuka jalan potensial bagi penyerang.

Peretas telah menggunakan teknik Kerberoasting dalam beberapa serangan cyber paling signifikan dalam beberapa tahun terakhir.

Dalam serangan SolarWinds tahun 2020, peretas negara Rusia menyebarkan malware dengan menyamarkannya sebagai pembaruan yang sah untuk platform manajemen infrastruktur Orion milik SolarWinds. Para peretas menerobos beberapa perusahaan dan lembaga pemerintah, termasuk Departemen Luar Negeri dan Kehakiman AS. Menurut Mitre, para peretas menggunakan Kerberoasting untuk meningkatkan hak istimewa mereka dalam sistem yang disusupi.²

Demikian juga, peretas yang terkait dengan ransomware Akira sering menggunakan Kerberoasting untuk memperluas jangkauan mereka dan mempertahankan akses ke jaringan yang mereka bobol. Hingga April 2024, Akira telah menyerang 250 organisasi di seluruh dunia, memeras total 42 juta USD dalam bentuk uang tebusan.³

Sementara juga menargetkan proses otentikasi Kerberos, serangan golden ticket berbeda dari Keberoasting.

Di Kerberoasting, peretas mencuri dan memecahkan tiket untuk mengungkap kata sandi dan mengambil alih akun layanan.

Dalam serangan tiket emas, seorang peretas pertama-tama mendapatkan hak istimewa tingkat administrator di sebuah domain. Hal ini memungkinkan mereka untuk mengakses kata sandi akun krbtgt, yang merupakan akun yang digunakan oleh KDC untuk mengenkripsi TGT. Peretas menggunakan hak istimewa ini untuk membuat tiket Kerberos nakal yang memungkinkan mereka berpura-pura menjadi pengguna mana pun dan mendapatkan akses yang hampir tidak terbatas ke sumber daya jaringan.

Serangan kerberoasting sulit dikenali karena para penyerang menghabiskan sebagian besar waktu mereka untuk menyamar sebagai akun yang sah. Permintaan tiket mereka tidak terdekat dengan yang sebenarnya, dan pemecahan kata sandi sebenarnya terjadi di luar jaringan.

Meskipun demikian, ada alat dan praktik yang dapat digunakan organisasi untuk mengurangi kemungkinan serangan yang berhasil dan lebih baik mencegat Kerberoasting yang sedang berlangsung.

Karena serangan Kerberoasting menguasai akun domain, melindungi akun ini dengan kontrol IAM yang ditingkatkan dapat membantu menggagalkan beberapa pelanggaran.

Kebijakan dan praktik kata sandi yang kuat, termasuk solusi manajemen kata sandi terpusat, dapat mempersulit peretas untuk memecahkan kata sandi. Kerangka kerja MITRE ATT& CK, misalnya, merekomendasikan agar kata sandi akun layanan setidaknya terdiri dari 25 karakter, cukup kompleks dan diubah secara teratur.⁴

Di Active Directory, organisasi dapat menggunakan Akun Layanan Terkelola Grup. Ini adalah akun layanan yang secara otomatis membuat, mengelola, dan mengubah kata sandi secara teratur, sehingga admin tidak perlu mengelola kata sandi secara manual.

Autentikasi yang kuat, seperti autentikasi adaptif atau multifaktor (MFA), juga dapat membantu melindungi akun pengguna dari pencurian. Meskipun demikian, seringkali menantang dan tidak efisien untuk menggunakan MFA untuk akun layanan.

Alat manajemen akses istimewa dapat membantu memberikan keamanan ekstra untuk kredensial akun-akun istimewa, seperti akun layanan Kerberos dan target-target lain yang sangat berharga.

Dengan membatasi hak istimewa akun layanan pada izin yang mereka perlukan, organisasi dapat meminimalkan kerusakan yang dapat dilakukan peretas dengan mengkompromikan akun-akun tersebut.

Selain itu, akun layanan dapat dibatasi untuk login noninteraktif dan hanya pada layanan dan sistem tertentu.

Permintaan tiket berbahaya sering berbaur dengan yang sah, tetapi peretas mungkin meninggalkan tanda-tanda yang jelas. Contohnya, sebuah akun yang meminta banyak tiket untuk banyak layanan sekaligus mungkin sedang melakukan serangan Kerberoasting.

Log peristiwa seperti Windows Event Viewer atau sistem informasi keamanan dan manajemen peristiwa (SIEM) dapat membantu tim keamanan mendeteksi aktivitas mencurigakan. Alat yang memantau pengguna, seperti solusi analisis perilaku pengguna (UBA), dapat membantu mendeteksi peretas yang telah membajak akun sah.

Tim keamanan dapat menangkap lebih banyak aktivitas ancaman dengan menyelaraskan alat pemantauan ke sistem informasi mereka. Misalnya, alat dapat dikonfigurasi sehingga setiap upaya oleh akun layanan untuk masuk di luar cakupan yang telah ditentukan akan memicu peringatan dan memerlukan penyelidikan.

Banyak contoh Kerberos masih mendukung algoritma enkripsi RC4. Namun, standar enkripsi lama ini relatif mudah dipecahkan oleh peretas.

Mengaktifkan jenis enkripsi yang lebih kuat, seperti AES, dapat mempersulit peretas untuk memecahkan tiket.

Beberapa organisasi membuat honeytoken, akun domain palsu yang dimaksudkan untuk dikompromikan. Ketika seseorang mencuri honeytoken, sistem akan otomatis mengirim peringatan sehingga tim keamanan dapat segera bertindak.

Honeytokens dirancang untuk mengalihkan perhatian dari akun asli, sering kali dengan memperlihatkan kredensial yang lemah dan hak akses yang tinggi.