Kerberoasting эксплуатирует уязвимость протокола Kerberos, позволяя злоумышленникам получать доступ к учетным записям сервисов. Атакующий ищет учетные записи сервисов (SPN) через LDAP, а затем запрашивает билеты TGS для них. Эти билеты зашифрованы хешами паролей сервисных учетных записей. Злоумышленник может попытаться взломать эти хеши, используя брутфорс, и тем самым получить доступ к учетной записи сервиса.
Интересно, что Kerberoasting может быть осуществлен даже без доступа к учетной записи домена. Если у пользователя отключена преаутентификация Kerberos, то KDC не проверяет наличие метки времени, зашифрованной хешем пароля пользователя в запросе AS-REQ. Это позволяет злоумышленнику получить TGT, а затем использовать его для запроса билета TGS, тем самым обходя стандартную процедуру аутентификации.
При проведении атак Kerberoasting, в системных журналах могут появиться характерные артефакты. В случае стандартной атаки с запросом TGS, в журнале безопасности можно увидеть событие 4769 с нетипичным запросом к учетной записи сервиса. При атаке без преаутентификации будет сгенерировано множество событий 4768, указывающих на перебор пользователей. В обоих случаях следует обратить внимание на имя сервиса, а также на используемый тип шифрования билета, который часто будет RC4 (0x17).
Использование этих данных может быть полезно для обнаружения и предотвращения атак Kerberoasting в сети. Выявление аномальных запросов к KDC, анализ используемых типов шифрования, а также отслеживание событий 4769 и 4768 помогут выявить вредоносную активность и предотвратить компрометацию учетных записей сервисов.
Изображение носит иллюстративный характер
Интересно, что Kerberoasting может быть осуществлен даже без доступа к учетной записи домена. Если у пользователя отключена преаутентификация Kerberos, то KDC не проверяет наличие метки времени, зашифрованной хешем пароля пользователя в запросе AS-REQ. Это позволяет злоумышленнику получить TGT, а затем использовать его для запроса билета TGS, тем самым обходя стандартную процедуру аутентификации.
При проведении атак Kerberoasting, в системных журналах могут появиться характерные артефакты. В случае стандартной атаки с запросом TGS, в журнале безопасности можно увидеть событие 4769 с нетипичным запросом к учетной записи сервиса. При атаке без преаутентификации будет сгенерировано множество событий 4768, указывающих на перебор пользователей. В обоих случаях следует обратить внимание на имя сервиса, а также на используемый тип шифрования билета, который часто будет RC4 (0x17).
Использование этих данных может быть полезно для обнаружения и предотвращения атак Kerberoasting в сети. Выявление аномальных запросов к KDC, анализ используемых типов шифрования, а также отслеживание событий 4769 и 4768 помогут выявить вредоносную активность и предотвратить компрометацию учетных записей сервисов.
