T1558.003: Керберостинг
Злоумышленники могут использовать легитимные билеты на выдачу билетов (TGT) Kerberos или прослушивать сетевой трафик, чтобы получить билеты службы предоставления билетов (TGS) и попытаться расшифровать их методом перебора.
Каждый экземпляр служб Windows имеет уникальный идентификатор — имя субъекта-службы (SPN). Для аутентификации в Kerberos необходимо, чтобы SPN были связаны хотя бы с одной учетной записью для входа в службу (учетной записью, предназначенной для запуска службы).
Имея действительный TGT-билет, злоумышленники могут запросить один или несколько TGS-билетов для взаимодействия с любым SPN, зарегистрированным на контроллере домена. Элементы этих билетов могут быть зашифрованы алгоритмом RC4, при этом хеш Kerberos 5 TGS-REP etype 23 учетной записи службы с указанным SPN используется в качестве закрытого ключа и, следовательно, может быть взломан методом перебора; таким образом злоумышленники смогут получить учетные данные в открытом виде.
Эту же атаку можно выполнить с помощью билетов служб, извлеченных из сетевого трафика.
Взломанные хеши открывают доступ к существующим учетным записям и обеспечивают закрепление, повышение привилегий и перемещение внутри периметра.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_attacks: PT-CR-874: Kerberoasting: Запрос билетов TGS с определенными типами шифрования. Это может быть признаком попытки злоумышленника подобрать пароль к учетной записи службы с целью получения доступа к системе и повышения привилегий active_directory_attacks: PT-CR-878: Subrule_Tickets_Requested: Запрос сеансовых билетов для получения доступа к службам
Способы обнаружения
| ID | DS0026 | Источник и компонент данных | Active Directory: Запрос учетных данных Active Directory | Описание | Отслеживайте аномальную деятельность, связанную с Kerberos, — например, включите аудит операций с билетами служб Kerberos для журналирования запросов на создание билетов служб TGS в Kerberos. Обращайте особое внимание на нетипичную деятельность (например, несколько запросов от одной учетной записи, регистрируемых событием с идентификатором 4769, за короткий промежуток времени, особенно если от нее также исходят запросы на шифрование RC4 [Type 0x17]). |
|---|
Меры противодействия
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте учетные записи служб минимально необходимыми привилегиями, включая членство в привилегированных группах, таких как администраторы домена. |
|---|
| ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы длина (в идеале 25+ символов) и сложность паролей для учетных записей служб были достаточно велики, а срок действия паролей периодически истекал. Также по возможности используйте групповые управляемые учетные записи служб (gMSA) или такие сторонние продукты, как хранилище паролей. |
|---|
| ID | M1041 | Название | Шифрование важной информации | Описание | По возможности включите в Kerberos шифрование AES (или другой сильный алгоритм шифрования), а не RC4. |
|---|