ما هجوم Kerberoasting؟ 

أصبح هجوم Kerberoasting أكثر شيوعًا. وقد لاحظ محللو أمن  X-Force®‎ لدى IBM زيادة حوادث Kerberoasting بنسبة 100% بين عامي 2022 و2023 وفقًا لمؤشر X-Force Threat Intelligence. ويشكل هذا النمو جزءًا من الاتجاه العام للمخترقين نحو إساءة استخدام الحسابات الصالحة لاختراق الشبكات. وقد أدت التحسينات في أمن الشبكات وأمن نقاط النهاية إلى صعوبة تنفيذ الهجمات المباشرة.

هناك بعض العوامل الإضافية التي تزيد من شعبية هجمات Kerberoasting. يستخدم العديد من خدمات الأدلة وأنظمة الحوسبة السحابية Kerberos، الذي يعني أن المخترقين يمكنهم استغلال البروتوكول للوصول إلى البنية الأساسية للشبكة الحساسة.

على وجه الخصوص، يمثِّل Kerberos المعيار في Microsoft Windows Active Directory، وتستهدف العديد من هجمات Keberoasting نطاقات Active Directory. إضافة إلى ذلك، تميل حسابات الخدمة التي تم إنشاؤها يدويًا إلى أن يكون لها كلمات مرور ضعيفة وامتيازات كبيرة، ما يجعلها أهدافًا جذابة.

يصعب اكتشاف هجمات Kerberoasting؛ لأنها تستفيد من تصميم Kerberos المقصود. لكن الجزء الأكثر إثارة للشك في هجوم Kerberoasting—أي فك تشفير التذاكر المسروقة—يحدث في وضع عدم الاتصال. لا يمكن لمتخصصي الأمن السيبراني القضاء على احتمالية وقوع هجمات Kerberoasting تمامًا، لكن يمكنهم نشر دفاعات استباقية للتخفيف من خطورة التهديد.

عادةً ما يكون هجوم Kerberoasting وسيلة لتصعيد الامتيازات وليس أسلوبًا أوليًا للاختراق. بعد أن يستطيع المخترق التحكم في حساب مستخدم داخل النطاق للدخول إلى الشبكة، يستخدم هجوم Kerberoasting لتوسيع مجال وصوله.

تتبع معظم هجمات Kerberoasting الطريقة الأساسية نفسها:

1. يستخدم المخترق حسابًا مخترقًا للحصول على تذاكر خدمة Kerberos. 
   
2. يأخذ المخترق هذه التذاكر إلى جهاز كمبيوتر لديه خارج نطاق الشبكة التي يهاجمها.
   
3. يفك المخترق تشفير التذاكر ويكشف عن كلمات مرور حسابات الخدمة التي تشغِّل الخدمات المرتبطة بكل تذكرة.
   
4. يسجل المخترق الدخول إلى الشبكة باستخدام بيانات اعتماد حسابات الخدمة، ويسيء استخدام أذوناتها للتنقل عبر الشبكة وإحداث ضرر.

لفهم سبب عمل هجوم Kerberoasting، يجب أولاً فهم أساسيات Kerberos.

Kerberos هو بروتوكول مصادقة يتيح للمستخدمين والخدمات (مثل: التطبيقات وقواعد البيانات والخوادم) المصادقة بأمان والاتصال داخل Active Directory والنطاقات الأخرى.

تستخدم عملية مصادقة Kerberos نظام التذاكر. يوجد في قلب هذا النظام مركز التوزيع الرئيسي الذي يعمل على وحدة التحكم في نطاق الشبكة.

مركز التوزيع الرئيسي هو في الأساس برنامج حماية بوابة النطاق. ويتحقق من المستخدمين والخدمات على الشبكة ويصدر لهم التذاكر. والتذاكر هي بيانات اعتماد تُثبت هويات المستخدمين وتسمح لهم بالوصول إلى الموارد الأخرى على الشبكة. يتبادل المستخدمون والخدمات هذه التذاكر للتحقق من أنفسهم لبعضهم.

عندما يسجِّل مستخدم ما الدخول إلى نطاق، يقوم أولاً بالمصادقة مع مركز التوزيع الرئيسي ويتلقى تذكرة منح التذاكر (TGT). وتتيح تذكرة منح التذاكر للمستخدم إمكانية طلب الوصول إلى خدمات النطاق.

عندما يرغب المستخدم في الوصول إلى خدمة، يرسل طلبًا إلى خدمة منح التذاكر (TGS) التابعة لمركز التوزيع الرئيسي. وترافق خدمة منح التذاكر هذا الطلب للتأكيد على هوية المستخدم.

في المقابل، يصدر مركز التوزيع الرئيسي تذكرة خدمة، وتسمى أيضًا "تذكرة خدمة منح التذاكر"، تُشفَّر باستخدام كلمة مرور حساب الخدمة. ويهدف هذا إلى التأكد من أن الخدمة المستهدفة فقط يمكنها التحقق من صحة طلب وصول المستخدم. يقدم المستخدم تذكرة الخدمة هذه إلى الخدمة المستهدفة، التي تصادق على المستخدم وتبدأ جلسة آمنة.

هناك بعض التفاصيل في تصميم Kerberos التي تجعله عرضة لهجوم Kerberoasting.

أولاً، لا يتحقق مركز التوزيع الرئيسي مما إذا كان المستخدمون مخولين بالوصول إلى الخدمة. ويمكن لأي مستخدم طلب تذكرة لأي خدمة. ويتعين على الخدمات الفردية فرض الأذونات وحظر المستخدمين غير المصرح لهم. لذلك، لا يحتاج المخترقون إلى الاستيلاء على حسابات مسؤولي النطاقات أو المستخدمين المتميزين الآخرين. ويمكنهم استخدام أي حساب مخترق.

ثانيًا، يجب أن تقترن كل خدمة في نطاق Kerberos بحساب خدمة مسؤول عن تشغيلها على النطاق. وتمكّن حسابات الخدمة بروتوكول Kerberos من مصادقة الخدمات وإصدار تذاكر الخدمة وفرض الضوابط الأمنية. هذه الحسابات توفر للحاكمين هدفًا أيضًا، حيث تكون عادة ما تمتلك صلاحيات عالية.

ثالثًا، تُشفَّر تذاكر Kerberos باستخدام تجزئات كلمات المرور الخاصة بالحسابات المرتبطة كمفاتيح. الأمر المهم بالنسبة إلى هجوم Kerberoasting هو أن تذاكر الخدمة تستخدم تجزئات كلمات مرور حسابات الخدمة ذات الصلة.

كلمات مرور الحساب هي مفاتيح تشفير متماثلة ملائمة؛ لأن مركز التوزيع الرئيسي والخدمة ذات الصلة فقط ينبغي لهما معرفة كلمة المرور هذه. لكن، نظرًا إلى تشفير التذاكر باستخدام تجزئات كلمات المرور، يمكن للمخترقين إجراء هندسة عكسية لكلمات مرور حسابات الخدمة عن طريق كسر تشفير التذكرة.

إضافة إلى ذلك، غالبًا ما يتم تمكين علامة "كلمة المرور لا تنتهي صلاحيتها أبدًا" في حسابات الخدمة التي يتم تكوينها يدويًا. في شبكات قديمة، قد يعني هذا أن حسابات الخدمة قد تستخدم كلمات سر قديمة تتبع أدلة أمنية قديمة، ما يجعلها سهلة الكسر.

في حين أن هجوم Kerberoasting يتطلب عادةً حساب مستخدم النطاق المخترق، اكتشف الباحث الأمني تشارلي كلارك تقنية هجوم تتيح للمخترقين سرقة تذاكر الخدمة من دون سرقة الحساب في ظل الظروف الصحيحة.¹

تذكر أنه قبل أن يتمكن المستخدم من تلقي تذاكر الخدمة، يجب عليه المصادقة مع مركز التوزيع الرئيسي والحصول على تذكرة منح التذاكر التي تسمح له بطلب الوصول إلى الخدمة. باستخدام أداة استغلال Kerberos التي تدعى Rubeus، تمكن كلارك من تعديل طلب المصادقة الأولي هذا بحيث يطلب تذكرة خدمة بدلاً من تذكرة منح تذاكر. وقد كان الأمر مجديًا، واستجاب مركز التوزيع الرئيسي بتقديم تذكرة خدمة.

لهذه الطريقة تطبيقات محدودة. ولكي تعمل هذه التقنية، يجب على المخترق التظاهر بإرسال طلب المصادقة من حساب لا يتطلب مصادقة سابقة في Kerberos. تحتاج الحسابات التي تتطلب مصادقة سابقة - كما هو حال معظمها- إلى بيانات اعتماد المستخدم لإرسال طلب المصادقة الأولي الذي قام Clark بتعديله. ومع ذلك، فإن هذه التقنية تفتح طريقًا محتملاً للمهاجمين.

استخدم المخترقون تقنيات Kerberoasting في بعض أهم الهجمات الإلكترونية في السنوات القليلة الماضية.

في هجوم SolarWinds لعام 2020، نشر مخترقو الدولة الروسية برامج ضارة من خلال دمجها في صورة تحديث شرعي لمنصة إدارة البنية الأساسية لدى SolarWinds's Orion. اخترق المخترقون العديد من الشركات والوكالات الحكومية، بما في ذلك وزارتا الخارجية والعدل الأمريكيتان. ووفقًا لشركة Mitre، استخدم المخترقون هجوم Kerberoasting لتصعيد امتيازاتهم في الأنظمة المخترقة.²

بالمثل، غالبًا ما يستخدم المخترقون المرتبطون ببرامج الفدية الضار Akira، هجوم Kerberoasting لتوسيع نطاق وصولهم والحفاظ على الوصول إلى الشبكات التي يخترقونها. وبدءًا من إبريل 2024، ضرب برنامج Akira 250 مؤسسة في جميع أنحاء العالم، وابتز ما مجموعه 42 مليون دولار أمريكي من مدفوعات الفدية.³

على الرغم من أن هجمات التذاكر الذهبية تستهدف أيضًا عمليات المصادقة الخاصة بـ Kerberos، فإنها تختلف عن هجمات Keberoasting.

في هجوم Kerberoasting، يسرق المخترقون التذاكر ويخترقونها للكشف عن كلمات المرور والاستيلاء على حسابات الخدمة.

أما في هجوم التذكرة الذهبية، فيكتسب المخترق أولاً امتيازات على مستوى المسؤول في النطاق. ويتيح لهم ذلك الوصول إلى كلمة مرور حساب krbtgt، وهو الحساب الذي يستخدمه مركز التوزيع الرئيسي لتشفير تذاكر منح التذاكر. يستخدم المخترق هذه الامتيازات لإنشاء تذاكر Kerberos ضارة تتيح لهم التظاهر بكونهم أي مستخدم والحصول على الوصول غير المقيد تقريبًا إلى موارد الشبكة.

من الصعب تحديد هجمات Kerberoasting لأن المهاجمين يقضون كثيرًا من وقتهم في التنكر كحسابات شرعية. تتمتع طلبات التذاكر الخاصة بهم بالتطابق مع الطلبات الحقيقية، وفي الواقع يحدث اختراق كلمات المرور خارج الشبكة.

ومع ذلك، توجد أدوات وممارسات يمكن للمؤسسات استخدامها لتقليل فرص نجاح الهجوم واعتراض هجوم Kerberoasting بشكل أفضل في أثناء تقدمه.

نظرًا إلى أن هجمات Kerberosting تسيطر على حسابات النطاق، فإن حماية هذه الحسابات باستخدام عناصر تحكم إدارة الهوية والوصول (IAM) المحسّنة يمكن أن تساعد على إحباط بعض الانتهاكات.

يمكن لسياسات كلمات المرور القوية وممارساتها، بما في ذلك حلول إدارة كلمات المرور المركزية، أن تصعِّب على المخترقين اختراق كلمات المرور. على سبيل المثال، يوصي إطار عمل MITRE ATT&CK بأن تتكون كلمات مرور حسابات الخدمة من 25 حرفًا على الأقل، وأن تكون معقدة بما يكفي وتتغيَّر بانتظام.⁴

في Active Directory، يمكن للمؤسسات استخدام حسابات الخدمات المُدارة للمجموعة. وهي حسابات خدمة تنشِئ تلقائيًا كلمات المرور وتديرها وتغيرها بانتظام، لذلك لا يحتاج المسؤولون إلى إدارة كلمات المرور يدويًا.

يمكن أن تساعد المصادقة القوية، مثل: المصادقة التكيفية أو متعددة العوامل (MFA)، على حماية حسابات المستخدمين من السرقة. ومع ذلك، غالبًا ما يكون استخدام المصادقة متعددة العوامل لحسابات الخدمة أمرًا صعبًا وغير فعال.

يمكن أن تساعد أدوات إدارة الوصول المميز على توفير أمان إضافي لبيانات اعتماد الحسابات المميزة، مثل حسابات خدمة Kerberos وغيرها من الأهداف ذات القيمة العالية.

من خلال تقليل امتيازات حساب الخدمة لتقتصر على الأذونات التي تحتاج إليها، يمكن للمؤسسات تقليل الضرر الذي قد يحدثه المخترقون عن طريق اختراق تلك الحسابات.

إضافة إلى ذلك، يمكن أن تقتصر حسابات الخدمة على عمليات تسجيل الدخول غير التفاعلية وعلى خدمات وأنظمة محددة فقط.

غالبًا ما تمتزج طلبات التذاكر الضارة مع الطلبات المشروعة، لكن قد يترك المخترقون علامات واضحة. على سبيل المثال، حساب يطلب العديد من التذاكر لعدد كبير من الخدمات في الوقت نفسه قد يكون ينفِّذ هجوم Kerberoasting.

يمكن أن تساعد سجلات الأحداث، مثل: Windows Event Viewer أو نظام معلومات الأمان وإدارة الأحداث (SIEM) فرق الأمان على اكتشاف الأنشطة المشبوهة. يمكن أن تساعد الأدوات التي تراقب المستخدمين، مثل: حل تحليلات سلوك المستخدم (UBA)، على اكتشاف المخترقين الذين اخترقوا حسابات مشروعة.

يمكن لفِرَق الأمان التقاط مزيد من الأنشطة المهدِّدة من خلال مواءمة أدوات المراقبة مع أنظمة المعلومات لديهم. على سبيل المثال، يمكن تكوين الأدوات؛ بحيث تؤدي أي محاولة من جانب حساب الخدمة لتسجيل الدخول خارج نطاقه المحدد سابقًا إلى إطلاق تنبيه وتتطلب التحقيق.

لا تزال العديد من حالات Kerberos تدعم خوارزمية التشفير RC4. مع ذلك، يكون هذا المعيار القديم للتشفير سهلاً نسبيًا لكي يخترقه المتطرفون.

يؤدي تمكين نوع تشفير أقوى، مثل: معيار التشفير المتقدم (AES)، إلى احتمالية أن يجعل من الصعب على المخترقين اختراق التذاكر.

تنشئ بعض المؤسسات رموز العسل، وهي حسابات نطاقات مزيفة من المفترض أن يتم اختراقها. عند هجوم المخترقين باستخدام رمز العسل، يتم رفع تنبيه تلقائيًا حتى يتمكن فريق الأمان من التصرف.

تم تصميم رموز العسل لجذب الانتباه بعيدًا عن الحسابات الحقيقية، وغالبًا ما تبدو كأنها تحتوي على بيانات اعتماد ضعيفة وامتيازات عالية.