Билетите Kerberos проверяват самоличността на потребителите и сървърите. Но хакерите също експлоатират тази система, за да открият чувствителна информация за вас.
Билетите Kerberos правят интернет по-безопасен, като предоставят средство за компютрите и сървърите в мрежата да предават данни, без да е необходимо да проверяват самоличността си на всяка стъпка. Въпреки това, тази роля на еднократен, макар и временен удостоверител, прави билетите Kerberos привлекателни за нападателите, които могат да пробият криптирането им.
Какво представляват билетите Kerberos?
Ако смятате, че „Kerberos“ ви звучи познато, прав сте. Това е гръцкото име на кучето на Хадес (известно още като "Цербер"). Но Kerberos не е кученце; има няколко глави и пази портите на подземния свят. Kerberos не позволява на мъртвите да напуснат и спира разстроените герои да измъкнат любимите си от мрачния отвъден живот. По този начин можете да мислите за кучето като за удостоверител, който предотвратява неоторизиран достъп.
Kerberos е мрежов протокол за удостоверяване, който използва криптографски ключове за проверка на комуникациите между клиенти (персонални компютри) и сървъри в компютърни мрежи. Kerberos е създаден от Масачузетския технологичен институт (MIT) като начин клиентите да доказват своята самоличност пред сървърите, когато правят заявки за данни. По същия начин сървърите използват Kerberos билети, за да докажат, че изпратените данни са автентични, от предвидения източник и не са повредени.
Билетите за Kerberos са основно сертификати, издадени на клиенти от доверена трета страна (наречена център за разпределение на ключове - накратко KDC). Клиентите представят този сертификат, заедно с уникален сесиен ключ, на сървър, когато той инициира заявка за данни. Представянето и удостоверяването на билета установява доверие между клиента и сървъра, така че няма нужда да проверявате всяка отделна заявка или команда.
Как работят Kerberos билетите?
Билетите Kerberos удостоверяват потребителския достъп до услугите. Те също така помагат на сървърите да разделят достъпа в случаите, когато има няколко потребители, които имат достъп до една и съща услуга. По този начин заявките не изтичат една в друга и неоторизирани лица нямат достъп до данни, ограничени до привилегировани потребители.
Например, Microsoft използва Kerberos протокол за удостоверяване, когато потребителите имат достъп до Windows сървъри или компютърни операционни системи. Така че, когато влезете в компютъра си след зареждане, операционната система използва Kerberos билети, за да удостовери вашия пръстов отпечатък или парола.
Вашият компютър временно съхранява билета в паметта на процеса на Local Security Authority Subsystem Service (LSASS) за тази сесия. Оттам нататък ОС използва кеширания билет за удостоверения за единично влизане, така че не е нужно да предоставяте своите биометрични данни или парола всеки път, когато трябва да направите нещо, което изисква администраторски привилегии.
В по-голям мащаб билетите Kerberos се използват за защита на мрежовите комуникации в интернет. Това включва неща като HTTPS криптиране и проверка на потребителско име-парола при влизане. Без Kerberos мрежовите комуникации биха били уязвими на атаки като фалшификация на заявки между сайтове (CSRF) и хакове за човек по средата.
Какво точно е Kerberoasting?
Kerberoasting е метод за атака, при който киберпрестъпниците крадат Kerberos билети от сървъри и се опитват да извлекат хешове на пароли в обикновен текст. В основата си тази атака е социално инженерство, кражба на удостоверение, и атака с груба сила, всички събрани в едно. Първата и втората стъпка включват нападателя, който се представя за клиент и иска Kerberos билети от сървър.
Разбира се, билетът е криптиран. Независимо от това, получаването на билета решава едно от двете предизвикателства за хакера. След като получат Kerberos билета от сървъра, следващото предизвикателство е декриптирането му с всички необходими средства. Хакерите, които притежават билети за Kerberos, ще положат крайни усилия, за да разбият този файл, защото е ценен.
Как работят Kerberoasting атаките?
Kerberoasting използва две често срещани грешки в сигурността в активните директории – използване на кратки, слаби пароли и защита на файлове със слабо криптиране. Атаката започва с хакер, който използва потребителски акаунт, за да поиска Kerberos билет от KDC.
След това KDC издава криптиран билет, както се очаква. Вместо да използва този билет за удостоверяване със сървър, хакерът го извежда офлайн и се опитва да разбие билета с груба сила. Инструментите, използвани за това, са безплатни и с отворен код, като mimikatz, Hashcat и JohnTheRipper. Атаката може също да бъде автоматизирана с инструменти като invoke-kerberoast и Rubeus.
Успешна kerberoasting атака ще извлече пароли в обикновен текст от билета. След това атакуващият може да използва това, за да удостовери заявки към сървър от компрометиран потребителски акаунт. Още по-лошо, нападателят може да използва новооткрития, неоторизиран достъп, за да открадне данни, преместете странично в активната директорияи настройте фиктивни акаунти с администраторски привилегии.
Трябва ли да се притеснявате за Kerberoasting?
Kerberoasting е популярна атака срещу активни директории и трябва да се притеснявате за това, ако сте администратор на домейн или оператор на син екип. Няма конфигурация на домейна по подразбиране за откриване на тази атака. Повечето от тях се случват офлайн. Ако сте били жертва на това, най-вероятно ще разберете след факта.
Можете да намалите излагането си, като гарантирате, че всички във вашата мрежа използват дълги пароли, съставени от произволни буквено-цифрови знаци и символи. Освен това трябва да използвате разширено криптиране и да настроите предупреждения за необичайни заявки от потребители на домейна. Също така ще трябва да се предпазите от социално инженерство, за да предотвратите пробиви в сигурността, които на първо място започват от Kerberoating.
