13 maggio 2024
Il Kerberoasting è un attacco informatico che sfrutta il protocollo di autenticazione Kerberos. Gli attori delle minacce rubano i ticket di servizio Kerberos per scoprire le password in chiaro degli account dei servizi di rete. Gli hacker prendono quindi il controllo di questi account di servizio per rubare dati, diffondere malware e altro ancora.
Il Kerberoasting sta diventando sempre più comune. Gli analisti della sicurezza X-Force di IBM hanno registrato un aumento del 100% degli incidenti di Kerberoasting tra il 2022 e il 2023, secondo l'X-Force Threat Intelligence Index. Questa crescita fa parte di un'ampia tendenza di hacker che abusano di account validi per violare le reti. I miglioramenti nella sicurezza della rete e degli endpoint hanno reso gli attacchi diretti molto più difficili da eseguire.
Alcuni fattori aggiuntivi alimentano la popolarità del Kerberoasting. Molti servizi di directory e sistemi di cloud computing utilizzano Kerberos, il che significa che gli hacker possono sfruttare il protocollo per ottenere l'accesso all'infrastruttura di rete critica.
In particolare, Kerberos è standard in Microsoft Windows Active Directory e molti attacchi Keberoasting prendono di mira i domini Active Directory. Inoltre, gli account di servizio creati manualmente tendono ad avere password deboli e privilegi elevati, il che li rende obiettivi interessanti.
Gli attacchi Kerberoasting sono difficili da rilevare perché sfruttano il design previsto da Kerberos. La parte più sospetta di un attacco Kerberoasting, la decrittografia dei ticket rubati, avviene offline. I professionisti della cybersecurity non possono eliminare completamente la possibilità del Kerberoasting, ma possono implementare difese proattive per mitigare la minaccia.
Rafforza la tua intelligence sulla sicurezza
Rimani al passo con le minacce con notizie e insight su sicurezza, AI e altro ancora, ogni settimana con la newsletter Think.
Il Kerberoasting è in genere un mezzo di escalation dei privilegi piuttosto che una tattica di intrusione iniziale. Dopo che un hacker ottiene il controllo di un account utente di dominio per entrare nella rete, utilizza il Keberoasting per espandere la propria portata.
La maggior parte degli attacchi di Kerberoasting segue lo stesso metodo di base:
- Un hacker utilizza un account compromesso per ottenere i ticket di servizio Kerberos.
- L'hacker porta questi ticket su un computer di sua proprietà al di fuori della rete che sta attaccando.
- L'hacker decrittografa i ticket e scopre le password degli account di servizio che gestiscono i servizi associati a ciascun ticket.
- L'hacker accede alla rete utilizzando le credenziali degli account di servizio, abusando delle loro autorizzazioni per spostarsi nella rete e causare danni.
Perché il Kerberoasting funziona?
Per capire perché il Keberoasting funziona, è necessario prima comprendere le basi del protocollo Kerberos.
Kerberos è un protocollo di autenticazione che consente agli utenti e ai servizi (come applicazioni, database e server) di autenticarsi e comunicare in modo sicuro all'interno di Active Directory e altri domini.
Il processo di autenticazione Kerberos utilizza un sistema di etichettatura. Al centro di questo sistema c'è il centro di distribuzione delle chiavi (KDC), che opera sul controller di dominio della rete.
Il KDC è essenzialmente il custode del dominio. Autentica utenti e servizi sulla rete ed emette loro i ticket. I ticket sono credenziali che dimostrano l'identità degli utenti e consentono loro di accedere ad altre risorse sulla rete. Gli utenti e i servizi si scambiano questi ticket per verificarsi reciprocamente.
Quando un utente accede a un dominio, si autentica prima con il KDC e riceve un ticket-granting ticket (TGT). Questo TGT abilita l'utente a richiedere l'accesso ai servizi di dominio.
Quando l'utente vuole accedere a un servizio, invia una richiesta al servizio di assegnazione dei ticket (TGS, ticket-granting service) del KDC. Il TGT accompagna questa richiesta per garantire l'identità dell'utente.
In risposta, il KDC emette un ticket di servizio, chiamato anche "ticket TGS", che viene crittografato utilizzando la password dell'account di servizio. Ciò avviene per garantire che solo il servizio di destinazione possa convalidare la richiesta di accesso dell'utente. L'utente presenta questo ticket di servizio al servizio di destinazione, che autentica l'utente e avvia una sessione sicura.
Ci sono alcuni particolati del design di Kerberos che lo lasciano vulnerabile al Kerberoasting.
Innanzitutto, il KDC non verifica se gli utenti sono autorizzati ad accedere a un servizio. Qualsiasi utente può richiedere un ticket per qualsiasi servizio. Spetta ai singoli servizi far rispettare le autorizzazioni e bloccare gli utenti non autorizzati. Pertanto, gli hacker non hanno bisogno di sequestrare gli account degli amministratori di dominio o di altri utenti privilegiati. Un qualsiasi account compromesso funziona.
In secondo luogo, ciascun servizio in un dominio Kerberos deve essere associato a un account di servizio responsabile dell'esecuzione del servizio nel dominio. Gli account di servizio consentono a Kerberos di autenticare servizi, emettere ticket di servizio e applicare controlli di sicurezza. Questi account forniscono anche un bersaglio agli hacker, poiché spesso dispongono di privilegi elevati.
In terzo luogo, i ticket Kerberos vengono crittografati utilizzando gli hash delle password degli account associati come chiavi. Importante per il Kerberoasting, i ticket di servizio utilizzano gli hash delle password degli account di servizio rilevanti.
Le password degli account sono comode chiavi di crittografia simmetriche perché solo il KDC e il relativo servizio dovrebbero conoscere quella password. Tuttavia, poiché i ticket vengono crittografati utilizzando gli hash delle password, gli hacker possono decodificare le password degli account di servizio violando la crittografia di un ticket.
Inoltre, gli account di servizio configurati manualmente spesso hanno il flag "la password non scade mai" abilitato. Nelle reti di lunga data, ciò può significare che gli account di servizio utilizzano password molto vecchie che seguono linee guida di sicurezza obsolete, rendendole facili da decifrare.
Il processo di Kerberoasting
Il primo passo in un tipico attacco Kerberoasting consiste nel rubare l'account di un utente di dominio. In questa fase un hacker può utilizzare molti metodi di attacco informatico , come il phishing, i keylogger o altre tecniche. L'hacker può quindi utilizzare questo account per accedere al dominio di destinazione.
Quando gli hacker sono in rete, cercano gli account di servizio. Spesso lo fanno cercando account con nomi principali del servizio (SPN, Service Principal Name). Gli SPN sono identificatori univoci che collegano i servizi ai relativi account di servizio in un dominio Kerberos. Poiché solo gli account di servizio hanno questo attributo, enumerare gli account con SPN è un modo pratico per gli hacker di trovare obiettivi.Ogni account di dominio può enumerare gli SPN per impostazione predefinita.
Gli hacker possono usare i comandi di PowerShell e le query LDAP (Lightweight Directory Access Protocol) per visualizzare gli account con SPN. Possono anche utilizzare strumenti specializzati di hacking e test di penetrazione. Ad esempio, il toolkit Impacket include uno script denominato "GetUserSPNs.py", che genera un elenco di account di servizio in un dominio.
Gli hacker utilizzato l'account di dominio violato per richiedere ticket di servizio per i servizi presi di mira.
Gli hacker non utilizzano questi ticket per accedere a tali servizi. Potrebbero, ma avrebbero solo le autorizzazioni limitate dell'account utente rubato, probabilmente di basso livello. Invece, gli hacker estraggono questi ticket dalla rete verso un computer che controllano.
L'hacker decifra i ticket rubati per recuperare le password degli account di servizio.
Poiché i ticket utilizzano le password degli account di servizio come chiavi crittografiche, gli hacker in genere utilizzano attacchi brute force per questo scopo. Usano sistematicamente password diverse per generare chiavi di crittografia ("hash") che utilizzano sul ticket rubato. Se una chiave di crittografia funziona, la password che ha generato la chiave è la password dell'account di servizio.
Gli hacker possono velocizzare la decrittografia utilizzando elenchi di di password comuni. Impiegano anche vari strumenti per automatizzare il processo di cracking. Alcuni degli strumenti di Kerberoasting più comuni includono:
Impacket: un toolkit Python progettato per i pen tester. Include alcuni script che nelle mani di un hacker possono causare danni reali.
Rubeus: un toolkit progettato per sfruttare Kerberos per i test di penetrazione. Come molti strumenti di hacking etico, può essere utilizzato da hacker non etici per scopi malevoli.
John the Ripper e Hashcat: cracker di password in grado di eseguire attacchi brute force.
Mimikatz: aiuta gli hacker a estrarre e creare ticket per Kerberos.
La violazione dei ticket è il più grande campanello d'allarme nel processo di Kerberoasting, ma in genere avviene al di fuori della rete di destinazione su un dispositivo controllato dagli hacker. Gli strumenti di sicurezza dell'organizzazione non sono in grado di rilevare tali violazioni.
Armato della password di un account di servizio, un hacker può accedere a tale account e utilizzare le sue autorizzazioni per accedere a risorse sensibili, effettuare movimenti laterali e altro ancora.
Ad esempio, se un hacker viola la password dell'account di servizio di un server SQL, potrebbe ottenere il controllo dei database ospitati su quel server.
Il Kerberoasting senza credenziali di account rubate
Sebbene il Kerberoasting richieda normalmente un account utente di dominio compromesso, il ricercatore di sicurezza Charlie Clark ha scoperto una tecnica di attacco che nelle giuste condizioni consente agli hacker di rubare i ticket di servizio senza dover violare un account.1
Ricordi che prima che un utente possa ricevere i ticket di assistenza, deve autenticarsi presso il KDC e ottenere un TGT che gli consenta di richiedere l'accesso al servizio. Utilizzando lo strumento di sfruttamento Kerberos Rubeus, Clark ha potuto modificare questa richiesta di autenticazione iniziale in modo da richiedere un ticket di servizio anziché un TGT. La tattico ha funzionato e il KDC ha risposto con un ticket di servizio.
Questo metodo ha applicazioni limitate. Affinché la tecnica funzioni, l'hacker deve fingere di inviare la richiesta di autenticazione da un account che non richiede la preautenticazione in Kerberos. Gli account che richiedono la preautenticazione, che rappresentano la maggior parte dei casi, necessitano delle credenziali utente anche per inviare la richiesta di autenticazione iniziale modificata da Clark. Tuttavia, questa tecnica apre una potenziale strada per gli aggressori.
Esempi di Kerberoasting
Gli hacker hanno utilizzato tecniche di Kerberoasting in alcuni degli attacchi informatici più significativi degli ultimi anni.
Nell'attacco SolarWinds del 2020, gli hacker di stato russi hanno diffuso malware mascherandolo come un aggiornamento legittimo della piattaforma di gestione dell'infrastruttura Orion di SolarWinds. Gli hacker hanno violato diverse aziende e agenzie governative, tra cui il Dipartimento di Stato e il Dipartimento di Giustizia degli Stati Uniti. Secondo Mitre, gli hacker hanno utilizzato il Kerberoasting per aumentare i loro privilegi nei sistemi compromessi.2
Analogamente, gli hacker associati al ransomware Akira spesso utilizzano il Kerberoasting per espandere la loro portata e mantenere l'accesso alle reti che violano. Ad aprile 2024, Akira ha colpito 250 organizzazioni in tutto il mondo, estorcendo un totale di 42 milioni di dollari in pagamenti di riscatti3.
Il Kerberoasting e gli attacchi Golden Ticket
Sebbene gli attacchi Golden Ticket prendano di mira anche i processi di autenticazione Kerberos, sono diversi dal Keberoasting.
Nel Kerberoasting, gli hacker rubano e decifrano i ticket per scoprire le password e impossessarsi degli account di servizio.
Negli attacchi Golden Ticket, gli hacker ottengono innanzitutto i privilegi di amministratore in un dominio. Questo permette loro di accedere alla password dell'account krbtgt, che è l'account utilizzato dal KDC per criptare i TGT. Gli hacker utilizzano questi privilegi per creare ticket Kerberos non autorizzati che consentono loro di fingere di essere qualsiasi utente e ottenere così un accesso praticamente illimitato alle risorse di rete.
Gli attacchi di Kerberoasting sono difficili da individuare perché gli aggressori trascorrono gran parte del loro tempo a mascherarsi come account legittimi. Le loro richieste di ticket si fondono con quelle reali e l'effettivo cracking della password avviene al di fuori della rete.
Detto questo, esistono strumenti e pratiche che le organizzazioni possono utilizzare per ridurre le possibilità di successo di un attacco e intercettare meglio il Kerberoasting in corso.
Strumenti di gestione delle identità e degli accessi
Dato che gli attacchi Kerberoasting prendono il controllo degli account di dominio, proteggere questi account con controlli IAM avanzati può aiutare a prevenire alcune violazioni.
Politiche e pratiche efficaci in materia di password, comprese soluzioni centralizzate per la gestione delle password, possono rendere più difficile agli hacker decifrare le password. Il framework MITRE ATT&CK, ad esempio, raccomanda che le password degli account di servizio abbiano una lunghezza minima di 25 caratteri, siano sufficientemente complesse e vengano cambiate regolarmente4.
In Active Directory, le organizzazioni possono utilizzare account di servizio gestiti di gruppo. Si tratta di account di servizio che generano, gestiscono e modificano regolarmente le password, in modo che gli amministratori non debbano gestire le password manualmente.
L'autenticazione avanzata, come l'autenticazione adattiva o a più fattori (MFA), può anche aiutare a proteggere gli account utente dai furti. Detto questo, spesso è difficile e inefficiente utilizzare l'MFA per gli account di servizio.
Gestione degli accessi privilegiati
Gli strumenti di gestione degli accessi privilegiati possono contribuire a fornire una sicurezza aggiuntiva per le credenziali degli account privilegiati, come gli account del servizio Kerberos e altri obiettivi molto apprezzati.
Il principio del privilegio minimo
Limitando i privilegi degli account di servizio alle autorizzazioni necessarie, le organizzazioni possono ridurre al minimo i danni che gli hacker possono causare compromettendo tali account.
Inoltre, gli account di servizio possono essere limitati agli accessi non interattivi e solo a servizi e sistemi specifici.
Monitoraggio dell'attività di Kerberos
Le richieste di ticket dannose spesso si mescolano a quelle legittime, ma gli hacker potrebbero lasciare segni rivelatori. Ad esempio, un account che richiede un gran numero di ticket per molti servizi contemporaneamente potrebbe essere il segnale di un attacco Kerberoasting.
I registri degli eventi come Windows Event Viewer o un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM) possono aiutare i team di sicurezza a rilevare attività sospette. Gli strumenti che monitorano gli utenti, come una soluzione di analisi del comportamento degli utenti (UBA), possono aiutare a rilevare gli hacker che hanno violato account legittimi.
I team di sicurezza possono rilevare più attività dannose allineando gli strumenti di monitoraggio ai loro sistemi informativi. Ad esempio, gli strumenti possono essere configurati in modo che qualsiasi tentativo da parte di un account del servizio di accedere al di fuori dell'ambito predefinito attivi un avviso e richieda un'indagine.
Rafforzamento della crittografia
Molte istanze di Kerberos supportano ancora l'algoritmo di crittografia RC4. Tuttavia, questo vecchio standard di crittografia è relativamente facile da violare per gli hacker.
L'abilitazione di un tipo di crittografia più forte, come l'AES, può rendere più difficile agli hacker violare i ticket.
Honeytoken
Alcune organizzazioni creano honeytoken, account di dominio falsi destinati a essere compromessi. Quando gli hacker attaccano un honeytoken, viene automaticamente generato un avviso in modo che il team di sicurezza possa agire.
Gli honeytoken sono progettati per distogliere l'attenzione dagli account reali, spesso sembrando avere credenziali deboli e privilegi elevati.
Risorse
I costi delle violazioni dei dati hanno raggiunto un nuovo massimo. Ottieni informazioni essenziali per aiutare i tuoi team di sicurezza e IT a gestire meglio i rischi e limitare le potenziali perdite.
Ottieni informazioni chiave e strategie pratiche per proteggere il tuo cloud con le più recenti informazioni sulle minacce.
Acquisisci gli insight necessari per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM X-Force Threat Intelligence Index.
La gestione delle minacce è un processo di prevenzione degli attacchi informatici, rilevamento delle minacce e risposta agli incidenti di sicurezza.
Note a piè di pagina
Tutti i link sono esterni a ibm.com
1 Clark, Charlie. New Attack Paths? As Requested Service Tickets. Semperis, 27 settembre 2022.
2 SolarWinds Compromise. MITRE ATT&CK. 14 aprile 2023.
3 StopRansomware: Akira Ransomware. Cybersecurity and Infrastructure Security Agency (CISA), 18 aprile 2024.
4 Steal or Forge Kerberos Tickets: Kerberoasting. MITRE ATT&CK, 30 marzo 2023.
