¿Qué es un ataque de kerberoasting?

El kerberoasting es una técnica de ataque posterior a la explotación cuyo objetivo es el protocolo de autenticación Kerberos, que permite a los adversarios extraer las credenciales cifradas de cuentas de servicio en Active Directory.

En un ataque de este tipo, un usuario de dominio autenticado solicita un nombre de entidad de servicios (SPN). El ticket de Kerberos recuperado se cifra usando un hash derivado de la contraseña de la cuenta de servicio. A continuación, el adversario trabaja offline para descifrar el hash de la contraseña, a menudo mediante técnicas de fuerza bruta. Una vez obtenidas las credenciales de texto simple de la cuenta de servicio, el adversario puede hacerse pasar por el propietario de la cuenta y heredar el acceso a cualquier sistema, recurso o red otorgados a la cuenta vulnerada.

Los ataques de kerberoasting son difíciles de detectar porque:

• Muchas herramientas y soluciones tradicionales de ciberseguridad no están diseñadas para monitorizar o analizar el comportamiento y la actividad de usuarios aprobados.
• Como el kerberoasting no se basa en el malware, las soluciones antivirus tradicionales son ineficaces para detectarlo. Sin embargo, las soluciones de detección de amenazas basadas en la identidad y las herramientas EDR pueden ayudar a identificar solicitudes de tickets inusuales e intentos de descifrado.

¿Por qué son tan frecuentes los ataques de kerberoasting?

Los adversarios hacen todo lo posible para acceder a las credenciales de los usuarios mediante técnicas como el kerberoasting porque la capacidad de hacerse pasar por un usuario legítimo ayuda al ciberdelincuente a evitar que lo detecten mientras avanza en la ruta de ataque. Después de la suplantación de identidad mediante el robo de credenciales, el adversario tiene acceso a cualquier sistema, servicio o red al que la cuenta tenga derecho. Los ciberdelincuentes expertos también pueden intentar elevar los privilegios de sus cuentas y moverse lateralmente a través de la red, recopilando credenciales de otras cuentas, estableciendo una puerta trasera para accesos futuros y robando datos en el proceso.

¿Cómo funcionan los ataques de kerberoasting?

Los ataques de kerberoasting explotan una combinación de contraseñas de cuentas de servicio débiles o fácilmente adivinables, sobre todo cuando se utilizan estándares de cifrado antiguos como RC4. Estos ataques suelen seguir el proceso que se describe a continuación:

1. Un atacante con cualquier credencial de usuario de dominio válida puede emplear diferentes herramientas para identificar cuentas de AD con SPN (nombres de entidad de servicios) vinculados.  
2. El atacante solicita entonces un ticket de servicio de Kerberos para una o varias de estas cuentas identificadas al servicio de concesión de tickets (TGS) utilizando herramientas como Rubeus de GhostPack o GetUserSPNs.py de SecureAuth Corporation.
3. El atacante recibe un ticket del centro de distribución de claves (KDC) de Kerberos. El ticket está cifrado con una versión hash de la contraseña de la cuenta.
4. El atacante captura el ticket de TGS y lo extrae para su uso offline.
5. El atacante intenta descifrar el hash de la credencial SPN para obtener la contraseña de texto simple de la cuenta de servicio utilizando técnicas de fuerza bruta o herramientas como Hashcat o JohnTheRipper.
6. Con la contraseña de la cuenta de servicio en su poder, el atacante intenta autenticarse como la cuenta de servicio y se le concede acceso a cualquier servicio, red o sistema asociado con la cuenta vulnerada.
7. El ciberdelincuente puede entonces robar datos, elevar privilegios o establecer una puerta trasera en la red para garantizar su acceso en el futuro.

Cabe destacar lo siguiente:

• Los ataques de kerberoasting no requieren una cuenta de administrador de dominio o una cuenta con privilegios elevados. De hecho, cualquier cuenta de usuario de dominio puede emplearse en este tipo de ataque, ya que cualquier cuenta puede solicitar tickets de servicio al TGS.
• El kerberoasting requiere que el adversario tenga acceso existente a una cuenta de usuario para poder solicitar tickets al KDC. Este acceso se puede lograr a través de varios métodos, como ingeniería social, malware o incluso comprando credenciales de usuario en la dark web.
• El SPN se puede vincular a una cuenta de usuario basada en host o en dominio. Los SPN basados en host no son vulnerables a ataques de kerberoasting porque la contraseña es una clave larga y compleja que se actualiza cada 30 días o menos. Estas contraseñas complejas y aleatorias son difíciles de descifrar incluso con herramientas avanzadas y técnicas de fuerza bruta. Por otro lado, las contraseñas SPN de las cuentas de usuario las seleccionan humanos y, por lo tanto, a menudo comparten las mismas vulnerabilidades que cualquier otra contraseña creada manualmente. Esto quiere decir que la contraseña SPN puede considerarse débil, común, obsoleta, reciclada o reutilizada. Las herramientas avanzadas a menudo pueden descifrar estas contraseñas en cuestión de horas.
• Los ataques de kerberoasting también aprovechan un fallo de arquitectura, ya que cualquier usuario de dominio autenticado puede iniciar una solicitud TGS para cualquier servicio en la red. El controlador de dominio que recibe la solicitud normalmente no verifica si el usuario está autorizado para acceder a este servicio. Dado que el controlador de dominio no verifica si el usuario debería poder solicitar un ticket de servicio para un SPN concreto, los adversarios pueden obtener tickets para cualquier cuenta de servicio e intentar descifrarlos offline.

Cómo detectar y detener los ataques de kerberoasting

Aunque las medidas de ciberseguridad tradicionales pueden tener dificultades para detectar ataques de kerberoasting en tiempo real, las organizaciones pueden adoptar diversas estrategias para mejorar su posición de seguridad y mitigar posibles daños:

1. Desarrollar e implementar una estrategia y un conjunto de herramientas integrales de seguridad de la identidad

Para mejorar su postura de seguridad, las organizaciones deberían desarrollar y desplegar una estrategia y conjunto completo de seguridad de la identidad.

La seguridad de la identidad es una solución integral que protege todos los tipos de identidades de una empresa (ya sean humanas o de máquinas, locales o híbridas, normales o con privilegios) para detectar y prevenir brechas de seguridad generadas por la identidad, sobre todo cuando el adversario logra esquivar las medidas de seguridad de los endpoints. Como parte de la estrategia de seguridad de la identidad, las organizaciones deben:

Asegurarse de mantener una buena higiene de contraseñas seguras: una de las mejores formas de reducir el riesgo de un ataque de kerberoasting es exigir a los usuarios que creen contraseñas seguras, especialmente para las cuentas de servicio que tienen SPN relacionados con ellas. Las contraseñas fuertes deben ser:

• Complejas: compuestas por al menos 14 caracteres, con una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales.
• Aleatorias: evita palabras, frases o patrones reconocibles.
• Actualizarse periódicamente: cámbialas periódicamente para reducir las posibilidades de los atacantes.

Las herramientas de descifrado de contraseñas lo tienen mucho más complicado con contraseñas largas, complejas y aleatorias, mientras que las que se actualizan frecuentemente limitan la cantidad de tiempo que tiene el adversario para descifrar los hashes de contraseñas.

El equipo de TI debe asegurarse de que todas las cuentas de servicio tengan habilitado "Esta cuenta admite cifrado Kerberos AES de 128/256 bits". Cuando se utiliza el cifrado AES para cifrar los tickets de servicio de Kerberos, también se utiliza un hash de contraseña más fuerte, lo que hace que descifrar contraseñas sea mucho más difícil.

• Identificar cuentas de servicio privilegiadas: si bien cualquier cuenta puede sufrir un ataque de kerberoasting, las cuentas de administrador siguen siendo las más vulnerables porque otorgarán a los ciberdelincuentes niveles más altos de acceso.
• Eliminar los SPN de cuentas humanas: asegúrate de que los nombres de entidades de servicio (SPN) no estén registrados en cuentas de usuario, ya que esto podría exponerlos de forma involuntaria a ataques de kerberoasting. A veces, los SPN se asignan a cuentas de usuario cuando los administradores o los desarrolladores instalan servicios, ya sea de forma manual o automática durante la configuración del software. Esta práctica puede dejar innecesariamente las cuentas a merced de los ataques de kerberoasting. En su lugar, utiliza cuentas de servicio dedicadas o cuentas de servicio gestionado de grupo (gMSA) para reducir los riesgos.
• Implementar cuentas de servicio gestionado de grupo (gMSA): el uso de gMSA ofrece gestión automática de contraseñas y controles de seguridad mejorados, lo que reduce el riesgo asociado a la gestión manual de contraseñas.
• Monitorizar las solicitudes de tickets de Kerberos: audita y monitoriza regularmente las solicitudes de tickets de Kerberos para detectar patrones inusuales indicativos de un ataque. Busca anomalías como un número excesivo de solicitudes TGS en un periodo corto de tiempo, solicitudes para cuentas de privilegios elevados o intentos originados desde hosts inusuales. Los picos insólitos en las solicitudes de tickets o los intentos repetidos de solicitar tickets de servicio pueden ser una señal de alerta.
• Emplear el principio del mínimo de privilegios: restringe las cuentas de servicio a los privilegios mínimos necesarios para su función. Reducir los permisos innecesarios limita el impacto de la vulneración de una cuenta y ayuda a prevenir movimientos laterales por parte de los ciberdelincuentes.
• Exigir autenticación multifactor (MFA): implementar la autenticación multifactor añade una capa más de seguridad y dificulta que los ciberdelincuentes aprovechen las credenciales robadas.

Lamentablemente, es posible que muchas organizaciones no tengan visibilidad completa de todas las cuentas privilegiadas existentes, sobre todo aquellas que son antiguas y no se utilizan. Las organizaciones pueden utilizar herramientas como BloodHound para analizar relaciones de Active Directory e identificar cuentas de servicio con privilegios elevados. Los datos recopilados por BloodHound se almacenan en una base de datos neo4j, que puede consultarse directamente utilizando el lenguaje de consulta Cipher. Las dos consultas de cifrado que se muestran a continuación pueden ayudar a identificar a qué cuenta de servicio se le otorgan privilegios administrativos. La primera consulta devuelve una cuenta de servicio y la ordena por la cantidad de hosts que tienen privilegios administrativos locales explícitos o delegados por grupo. La segunda consulta devuelve una cuenta de servicio que pertenece a un grupo de usuarios de Active Directory específico, que en este caso es el grupo de administradores de dominio.

• Integrar la solución de seguridad de la identidad: la solución de seguridad de la identidad también debe integrarse con las herramientas y los procesos de gestión de identidades y accesos (IAM) existentes de la organización, así como con una arquitectura Zero Trust.

Las herramientas de CrowdStrike Falcon® Identity Protection cuentan con auditorías integrales de identidad e información de las cuentas, los protocolos y los servicios a los que accede cada uno. La plataforma Falcon se integra con soluciones MFA/IAM de socios para mejorar la seguridad de la identidad y aplicar la autenticación basada en riesgos.

2. Añadir un Threat Hunting proactivo

El Threat Hunting verdaderamente proactivo, como es el caso de Crowdstrike Falcon OverWatch™, permite la búsqueda ininterrumpida de amenazas y ataques desconocidos y sigilosos que emplean credenciales robadas y se lanzan suplantando la identidad de usuarios legítimos. Precisamente este tipo de ataques son los que las medidas tradicionales pueden pasar por alto. Al emplear la experiencia adquirida en su lucha diaria contra atacantes sofisticados que recurren a amenazas persistentes avanzadas (APT), el equipo de OverWatch encuentra y rastrea millones de pistas sutiles a diario para validar si son legítimas o maliciosas, alertando a los clientes cuando es necesario y evitando falsos positivos.

3. Habilitar una verdadera protección de endpoints de última generación

El acceso a credenciales es una técnica popular entre los ciberdelincuentes porque resulta muy efectiva. Las organizaciones deben tomarse en serio la amenaza del robo de credenciales e implementar estrategias para evitar los ataques a nivel de endpoint. Emplear una solución de seguridad de endpoints de nueva generación, como la plataforma CrowdStrike Falcon®, es fundamental para detectar y prevenir ataques de kerberoasting. La detección de amenazas basada en la identidad de Falcon puede identificar comportamientos de autenticación anormales, detectar solicitudes inusuales de tickets de Kerberos y señalar el uso indebido de credenciales en tiempo real, lo que ayuda a las organizaciones a detener las amenazas basadas en la identidad antes de que vayan a más.

El enfoque y la experiencia de CrowdStrike en la prevención del kerberoasting

CrowdStrike observa con frecuencia que el adversario utiliza credenciales de cuenta válidas durante todo el ciclo de vida del ataque. En la evaluación MITRE Engenuity ATT&CK más reciente, se reveló que la plataforma Falcon es muy eficaz para detectar ataques basados en credenciales, como el kerberoasting.

Al comienzo de la evaluación, la plataforma Falcon identificó inmediatamente que se estaban utilizando contraseñas vulneradas y cuentas comprometidas para solicitar acceso al sistema. Esto impidió que el evaluador de pruebas independiente obtuviera acceso inicial al entorno, deteniendo efectivamente la prueba antes de que pudiera comenzar y convirtiendo a CrowdStrike Falcon® en la única solución entre las evaluadas en la que se debía desactivar un componente de protección en la plataforma para que la prueba pudiera continuar.

Incluso después de desactivar nuestras capacidades de protección de identidad, la plataforma Falcon logró un 100 % de prevención en los nueve pasos del marco MITRE ATT&CK.

La protección frente a ataques que aprovechan credenciales robadas o comprometidas es especialmente importante en el panorama actual de riesgos. Según el último Informe Global sobre Amenazas de CrowdStrike, los anuncios de intermediarios de acceso aumentaron un 50 % interanual. Detener al adversario en tiempo real y evitar que avancen los ataques requiere un enfoque unificado de seguridad que imponga Zero Trust en el endpoint, la identidad y los datos.