T1558.004: AS-REP-ростинг
Злоумышленники могут извлечь данные учетных записей с отключенной предварительной аутентификацией в Kerberos путем взлома паролей в сообщениях Kerberos.
Предварительная аутентификация защищает учетные записи от взлома пароля в автономном режиме. Если предварительная аутентификация включена, пользователь, запрашивающий доступ к ресурсу, отправляет контроллеру домена запрос AS-REQ с временной меткой, зашифрованной хешем своего пароля. Только в случае успешной расшифровки временной метки с помощью хеша пароля пользователя контроллер домена отправляет пользователю ответное сообщение AS-REP, которое содержит TGT-билет. Часть сообщения AS-REP подписана паролем пользователя.
Если предварительная аутентификация учетной записи отключена, злоумышленник может отправить запрос AS-REQ без зашифрованной временной метки и получить ответ AS-REP с TGT-данными, которые могут быть зашифрованы недостаточно надежным алгоритмом, например RC4. Так же, как и при использовании керберостинга, злоумышленники могут расшифровать полученные данные в автономном режиме путем взлома пароля и извлечь учетные данные в открытом виде .
Зарегистрированная в домене учетная запись, независимо от уровня привилегий, может использоваться для получения списка всех доменных учетных записей с отключенной предварительной аутентификацией; для этого могут применяться доступные в Windows инструменты, например PowerShell с LDAP-фильтром. В качестве альтернативы злоумышленники могут отправить запрос AS-REQ для каждого пользователя. Если контроллер домена не выдает ошибку в ответ, учетная запись не требует предварительной аутентификации, а в сообщении AS-REP передаются зашифрованные данные .
Взломанные хеши открывают доступ к существующим учетным записям и обеспечивают закрепление, повышение привилегий и перемещение внутри периметра.
Способы обнаружения
ID | DS0026 | Источник и компонент данных | Active Directory: Запрос учетных данных Active Directory | Описание | Отслеживайте аномальную деятельность — например, включите аудит операций с билетами служб Kerberos для журналирования запросов на создание билетов служб TGS в Kerberos. Обращайте особое внимание на нетипичную деятельность (например, несколько запросов от одной учетной записи, регистрируемых событиями с идентификаторами 4768 и 4769, за короткий промежуток времени, особенно если от нее также исходят запросы на шифрование RC4 [Type 0x17] без требования предварительной аутентификации [Type 0x0]). |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Предварительная аутентификация Kerberos включена по умолчанию. Старые протоколы могут не поддерживать предварительную аутентификацию, поэтому этот параметр может быть отключен. Проследите, чтобы все учетные записи имели предварительную аутентификацию, если это возможно, и проведите аудит изменений в настройках. С помощью таких инструментов Windows, как PowerShell, можно легко найти, в каких учетных записях отключена предварительная аутентификация . |
---|
ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы длина (в идеале 25+ символов) и сложность паролей для учетных записей служб были достаточно велики, а срок действия паролей периодически истекал. Также по возможности используйте групповые управляемые учетные записи служб (gMSA) или такие сторонние продукты, как хранилище паролей . |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | По возможности включите в Kerberos шифрование AES (или другой сильный алгоритм шифрования), а не RC4. |
---|