Vad är Kerberoasting, och bör du vara orolig för det?

Kerberos-biljetter gör internet säkrare genom att tillhandahålla ett sätt för datorer och servrar i ett nätverk att skicka data utan att behöva verifiera deras identiteter vid varje steg. Men denna roll som en engångs-, om än tillfällig, autentisering gör Kerberos-biljetterna attraktiva för angripare som kan knäcka deras kryptering.

Vad är Kerberos-biljetter?

Om du tycker att "Kerberos" låter bekant så har du rätt. Det är det grekiska namnet på Hades hund (även känd som "Cerberus"). Men Kerberos är ingen knähund; den har flera huvuden och vaktar underjordens portar. Kerberos hindrar de döda från att lämna och hindrar upprörda karaktärer från att ta ut sina älskade från det bistra livet efter detta. På det sättet kan du tänka på hunden som en autentiseringsanordning som förhindrar obehörig åtkomst.

Kerberos är ett nätverksautentiseringsprotokoll som använder kryptografiska nycklar för att verifiera kommunikation mellan klienter (persondatorer) och servrar i datornätverk. Kerberos skapades av Massachusetts Institute of Technology (MIT) som ett sätt för klienter att bevisa sin identitet för servrar när de gör dataförfrågningar. Likaså använder servrar Kerberos-biljetter för att bevisa att data som skickas är äkta, från den avsedda källan och inte har skadats.

Kerberos-biljetter är i grunden certifikat som utfärdats till kunder av en pålitlig tredje part (kallas ett nyckeldistributionscenter – förkortat KDC). Klienter presenterar detta certifikat, tillsammans med en unik sessionsnyckel, för en server när den initierar en databegäran. Presentation och autentisering av biljetten skapar förtroende mellan klienten och servern, så det finns inget behov av att verifiera varje enskild begäran eller kommando.

Hur fungerar Kerberos-biljetter?

Kerberos-biljetter autentiserar användaråtkomst till tjänster. De hjälper också servrar att särskilja åtkomsten i fall där det finns flera användare som använder samma tjänst. På så sätt läcker förfrågningar inte in i varandra och obehöriga personer kan inte komma åt data som är begränsade till privilegierade användare.

Till exempel, Microsoft använder Kerberos autentiseringsprotokoll när användare kommer åt Windows-servrar eller PC-operativsystem. Så när du loggar in på din dator efter en start, använder operativsystemet Kerberos-biljetter för att autentisera ditt fingeravtryck eller lösenord.

Din dator lagrar tillfälligt biljetten i LSASS-processminnet (Local Security Authority Subsystem Service) för den sessionen. Därefter använder operativsystemet den cachade biljetten för enkel inloggningsautentisering, så du behöver inte ange din biometri eller ditt lösenord varje gång du behöver göra något som kräver administrativa rättigheter.

I större skala används Kerberos-biljetter för att skydda nätverkskommunikation på internet. Detta inkluderar saker som HTTPS-kryptering och verifiering av användarnamn och lösenord vid inloggning. Utan Kerberos skulle nätverkskommunikation vara sårbar för attacker som cross-site request forgery (CSRF) och man-in-the-midten hacks.

Vad är Kerberoasting exakt?

Kerberoasting är en angreppsmetod där cyberbrottslingar stjäl Kerberos-biljetter från servrar och försöker extrahera lösenordshashar i klartext. I kärnan är denna attack social ingenjörskonst, legitimationsstöld, och brute-force attack, allt rullade i ett. Det första och andra steget innebär att angriparen utger sig för att vara en klient och begär Kerberos-biljetter från en server.

Självklart är biljetten krypterad. Att få biljetten löser dock en av två utmaningar för hackaren. När de väl har fått Kerberos-biljetten från servern är nästa utmaning att dekryptera den med alla nödvändiga medel. Hackare som har Kerberos-biljetter kommer att gå extremt långt för att knäcka den här filen på grund av hur värdefull den är.

Hur fungerar Kerberoasting-attacker?

Kerberoasting utnyttjar två vanliga säkerhetsmisstag i aktiva kataloger – att använda korta, svaga lösenord och säkra filer med svag kryptering. Attacken börjar med att en hackare använder ett användarkonto för att begära en Kerberos-biljett från en KDC.

KDC utfärdar sedan en krypterad biljett som förväntat. Istället för att använda denna biljett för autentisering med en server, tar hackaren den offline och försöker knäcka biljetten med brute force-tekniker. Verktygen som används för att göra detta är gratis och med öppen källkod, såsom mimikatz, Hashcat och JohnTheRipper. Attacken kan också automatiseras med verktyg som invoke-kerberoast och Rubeus.

En framgångsrik kerberoasting-attack kommer att extrahera klartextlösenord från biljetten. Angriparen kan sedan använda det för att autentisera förfrågningar till en server från ett inträngt användarkonto. Ännu värre, angriparen kan utnyttja den nyfunna, obehöriga åtkomsten för att stjäla data, flytta i sidled i den aktiva katalogen, och ställ in dummy-konton med administratörsbehörighet.

Bör du vara orolig för Kerberoasting?

Kerberoasting är en populär attack mot aktiva kataloger, och du bör vara orolig för det om du är domänadministratör eller blå teamoperatör. Det finns ingen standarddomänkonfiguration för att upptäcka denna attack. Det mesta sker offline. Om du har blivit utsatt för detta kommer du med största sannolikhet att veta i efterhand.

Du kan minska din exponering genom att se till att alla i ditt nätverk använder långa lösenord som består av slumpmässiga alfanumeriska tecken och symboler. Dessutom bör du använda avancerad kryptering och ställa in varningar för ovanliga förfrågningar från domänanvändare. Du kommer också att behöva skydda dig mot social ingenjörskonst för att förhindra säkerhetsintrång som startar Kerberoating i första hand.