Атаки Kerberoasting остаются угрозой десятилетие спустя. Традиционные методы обнаружения основаны на хрупких эвристиках и статических правилах: они генерируют ложные срабатывания, пропускают медленные атаки и не учитывают аномалии в вариативном трафике Kerberos.
Kerberoasting эксплуатирует протокол аутентификации Windows Active Directory. Злоумышленник через LDAP запрашивает учетные записи с Service Principal Names (SPNs), затем — билеты TGS, зашифрованные хешем пароля сервисного аккаунта. Для этого не нужны права администратора. Полученный хеш взламывается офлайн, что ведет к перемещению в сети и краже данных. Событие Windows Event 4769 фиксирует запрос билета на контроллере домена.
Эвристические методы часто терпят неудачу. Объемный анализ отслеживает всплески запросов TGS, шифровальный — попытки перехода на слабые алгоритмы (RC4/DES вместо AES). Но они игнорируют контекст: поведение пользователей и специфику инфраструктуры домена.
BeyondTrust предложил статистическую модель для точного обнаружения аномалий. Она оценивает распределение вероятностей на основе паттернов данных, группируя похожие запросы в кластеры. Гистограммные интервалы отслеживают частоту активности, обучаясь распознавать норму. Модель соблюдает четыре принципа: интерпретируемость результатов, учет неопределенности данных, масштабируемость без перегрузки облака и адаптация к изменениям (нестационарность).
Тестирование длилось 50 дней (1200 часовых сессий). Модель выявила 6 аномалий: не связанные всплески в коротких окнах, рост вариативности и резкие временные сдвиги. Источники — два теста на проникновение, симуляция Kerberoasting от BeyondTrust и три масштабных изменения AD. Ключевые преимущества: обработка «тяжелохвостых» аккаунтов с экстремальной вариативностью, снижение оценки аномалии после двух последовательных всплесков, динамическое скользящее окно и ранжирование по процентилям в реальном времени.
Успех подхода — в синтезе экспертизы безопасности и статистики. Для противодействия Kerberoasting необходимы превентивные меры, например, BeyondTrust Identity Security Insights. Это решение ITDR выявляет уязвимости: некорректное использование SPN и слабые шифры. Точная профилактика и контекстно-зависимые модели — путь к защите.
Кристофер Кальвани, ассоциированный исследователь безопасности BeyondTrust, комбинирует анализ уязвимостей и разработку систем обнаружения. Выпускник Рочестерского технологического института, ранее работал в Fidelity Investments и Stavvy. Коул Соджа, главный специалист по данным BeyondTrust, применяет статистику 20+ лет. Эксперт в анализе временных рядов и мониторинге поведения, работал в Amazon и Microsoft.
Изображение носит иллюстративный характер
Kerberoasting эксплуатирует протокол аутентификации Windows Active Directory. Злоумышленник через LDAP запрашивает учетные записи с Service Principal Names (SPNs), затем — билеты TGS, зашифрованные хешем пароля сервисного аккаунта. Для этого не нужны права администратора. Полученный хеш взламывается офлайн, что ведет к перемещению в сети и краже данных. Событие Windows Event 4769 фиксирует запрос билета на контроллере домена.
Эвристические методы часто терпят неудачу. Объемный анализ отслеживает всплески запросов TGS, шифровальный — попытки перехода на слабые алгоритмы (RC4/DES вместо AES). Но они игнорируют контекст: поведение пользователей и специфику инфраструктуры домена.
BeyondTrust предложил статистическую модель для точного обнаружения аномалий. Она оценивает распределение вероятностей на основе паттернов данных, группируя похожие запросы в кластеры. Гистограммные интервалы отслеживают частоту активности, обучаясь распознавать норму. Модель соблюдает четыре принципа: интерпретируемость результатов, учет неопределенности данных, масштабируемость без перегрузки облака и адаптация к изменениям (нестационарность).
Тестирование длилось 50 дней (1200 часовых сессий). Модель выявила 6 аномалий: не связанные всплески в коротких окнах, рост вариативности и резкие временные сдвиги. Источники — два теста на проникновение, симуляция Kerberoasting от BeyondTrust и три масштабных изменения AD. Ключевые преимущества: обработка «тяжелохвостых» аккаунтов с экстремальной вариативностью, снижение оценки аномалии после двух последовательных всплесков, динамическое скользящее окно и ранжирование по процентилям в реальном времени.
Успех подхода — в синтезе экспертизы безопасности и статистики. Для противодействия Kerberoasting необходимы превентивные меры, например, BeyondTrust Identity Security Insights. Это решение ITDR выявляет уязвимости: некорректное использование SPN и слабые шифры. Точная профилактика и контекстно-зависимые модели — путь к защите.
Кристофер Кальвани, ассоциированный исследователь безопасности BeyondTrust, комбинирует анализ уязвимостей и разработку систем обнаружения. Выпускник Рочестерского технологического института, ранее работал в Fidelity Investments и Stavvy. Коул Соджа, главный специалист по данным BeyondTrust, применяет статистику 20+ лет. Эксперт в анализе временных рядов и мониторинге поведения, работал в Amazon и Microsoft.
