T1558.004: AS-REP-ростинг

Злоумышленники могут извлечь данные учетных записей с отключенной предварительной аутентификацией в Kerberos путем взлома паролей в сообщениях Kerberos.

Предварительная аутентификация защищает учетные записи от взлома пароля в автономном режиме. Если предварительная аутентификация включена, пользователь, запрашивающий доступ к ресурсу, отправляет контроллеру домена запрос AS-REQ с временной меткой, зашифрованной хешем своего пароля. Только в случае успешной расшифровки временной метки с помощью хеша пароля пользователя контроллер домена отправляет пользователю ответное сообщение AS-REP, которое содержит TGT-билет. Часть сообщения AS-REP подписана паролем пользователя.

Если предварительная аутентификация учетной записи отключена, злоумышленник может отправить запрос AS-REQ без зашифрованной временной метки и получить ответ AS-REP с TGT-данными, которые могут быть зашифрованы недостаточно надежным алгоритмом, например RC4. Так же, как и при использовании керберостинга, злоумышленники могут расшифровать полученные данные в автономном режиме путем взлома пароля и извлечь учетные данные в открытом виде .

Зарегистрированная в домене учетная запись, независимо от уровня привилегий, может использоваться для получения списка всех доменных учетных записей с отключенной предварительной аутентификацией; для этого могут применяться доступные в Windows инструменты, например PowerShell с LDAP-фильтром. В качестве альтернативы злоумышленники могут отправить запрос AS-REQ для каждого пользователя. Если контроллер домена не выдает ошибку в ответ, учетная запись не требует предварительной аутентификации, а в сообщении AS-REP передаются зашифрованные данные .

Взломанные хеши открывают доступ к существующим учетным записям и обеспечивают закрепление, повышение привилегий и перемещение внутри периметра.

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Запрос учетных данных Active DirectoryОписание

Monitor for anomalous activity, such as enabling Audit Kerberos Service Ticket Operations to log Kerberos TGS service ticket requests. Particularly investigate irregular patterns of activity (ex: accounts making numerous requests, Event ID 4768 and 4769, within a small time frame, especially if they also request RC4 encryption [Type 0x17], pre-authentication not required [Type: 0x0]).

Меры противодействия

IDM1047НазваниеАудитОписание

Kerberos preauthentication is enabled by default. Older protocols might not support preauthentication therefore it is possible to have this setting disabled. Make sure that all accounts have preauthentication whenever possible and audit changes to setting. Windows tools such as PowerShell may be used to easily find which accounts have preauthentication disabled.

IDM1027НазваниеПарольные политикиОписание

Ensure strong password length (ideally 25+ characters) and complexity for service accounts and that these passwords periodically expire. Also consider using Group Managed Service Accounts or another third party product such as password vaulting.

IDM1041НазваниеШифрование важной информацииОписание

Enable AES Kerberos encryption (or another stronger encryption algorithm), rather than RC4, where possible.