T1558.004: AS-REP-ростинг

Злоумышленники могут извлечь данные учетных записей с отключенной предварительной аутентификацией в Kerberos путем взлома паролей в сообщениях Kerberos.

Предварительная аутентификация защищает учетные записи от взлома пароля в автономном режиме. Если предварительная аутентификация включена, пользователь, запрашивающий доступ к ресурсу, отправляет контроллеру домена запрос AS-REQ с временной меткой, зашифрованной хешем своего пароля. Только в случае успешной расшифровки временной метки с помощью хеша пароля пользователя контроллер домена отправляет пользователю ответное сообщение AS-REP, которое содержит TGT-билет. Часть сообщения AS-REP подписана паролем пользователя.

Если предварительная аутентификация учетной записи отключена, злоумышленник может отправить запрос AS-REQ без зашифрованной временной метки и получить ответ AS-REP с TGT-данными, которые могут быть зашифрованы недостаточно надежным алгоритмом, например RC4. Так же, как и при использовании керберостинга, злоумышленники могут расшифровать полученные данные в автономном режиме путем взлома пароля и извлечь учетные данные в открытом виде .

Зарегистрированная в домене учетная запись, независимо от уровня привилегий, может использоваться для получения списка всех доменных учетных записей с отключенной предварительной аутентификацией; для этого могут применяться доступные в Windows инструменты, например PowerShell с LDAP-фильтром. В качестве альтернативы злоумышленники могут отправить запрос AS-REQ для каждого пользователя. Если контроллер домена не выдает ошибку в ответ, учетная запись не требует предварительной аутентификации, а в сообщении AS-REP передаются зашифрованные данные .

Взломанные хеши открывают доступ к существующим учетным записям и обеспечивают закрепление, повышение привилегий и перемещение внутри периметра.

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Запрос учетных данных Active DirectoryОписание

Отслеживайте аномальную деятельность — например, включите аудит операций с билетами служб Kerberos для журналирования запросов на создание билетов служб TGS в Kerberos. Обращайте особое внимание на нетипичную деятельность (например, несколько запросов от одной учетной записи, регистрируемых событиями с идентификаторами 4768 и 4769, за короткий промежуток времени, особенно если от нее также исходят запросы на шифрование RC4 [Type 0x17] без требования предварительной аутентификации [Type 0x0]).

Меры противодействия

IDM1047НазваниеАудитОписание

Предварительная аутентификация Kerberos включена по умолчанию. Старые протоколы могут не поддерживать предварительную аутентификацию, поэтому этот параметр может быть отключен. Проследите, чтобы все учетные записи имели предварительную аутентификацию, если это возможно, и проведите аудит изменений в настройках. С помощью таких инструментов Windows, как PowerShell, можно легко найти, в каких учетных записях отключена предварительная аутентификация .

IDM1027НазваниеПарольные политикиОписание

Проследите, чтобы длина (в идеале 25+ символов) и сложность паролей для учетных записей служб были достаточно велики, а срок действия паролей периодически истекал. Также по возможности используйте групповые управляемые учетные записи служб (gMSA) или такие сторонние продукты, как хранилище паролей .

IDM1041НазваниеШифрование важной информацииОписание

По возможности включите в Kerberos шифрование AES (или другой сильный алгоритм шифрования), а не RC4.