Ataques de Kerberoasting: o que são e como se defender

O que é um ataque de Kerberoasting?

Kerberoasting é uma técnica de ataque pós-exploração que mira o protocolo de autenticação Kerberos, permitindo que adversários extraiam credenciais criptografadas de contas de serviço do Active Directory.

Nesse ataque, um usuário autenticado no domínio solicita um ticket do Kerberos para um nome principal de serviço (SPN). O ticket do Kerberos recuperado é criptografado usando um hash derivado da senha da conta de serviço. O adversário então trabalha off-line para quebrar o hash da senha, usando técnicas de força bruta. Depois que as credenciais da conta de serviço em texto não criptografado são obtidas, o adversário pode se passar pelo proprietário da conta e herdar acesso a qualquer sistema, ativo ou rede concedido à conta comprometida.

Ataques de Kerberoasting são particularmente difíceis de detectar porque:

• Muitas ferramentas e soluções de cibersegurança tradicionais não são desenvolvidas para monitorar ou analisar o comportamento e a atividade de usuários aprovados.
• Como o Kerberoasting não depende de malware, as soluções antivírus tradicionais são ineficazes para detectá-lo. No entanto, soluções de detecção de ameaças baseadas em identidade e ferramentas de detecção e resposta de endpoint (EDR) podem ajudar a identificar solicitações de tickets incomuns e tentativas de invasão.

Por que ataques de Kerberoasting são tão comuns?

Os adversários empregam várias táticas, como o Kerberoasting, para acessar as credenciais de usuário, pois a capacidade de se disfarçar como um usuário legítimo permite que os invasores contornem a detecção e prossigam com seus ataques. Quando a personificação através do roubo de credenciais se estabelece, o adversário ganha acesso a todos os sistemas, serviços ou redes aos quais a conta comprometida tem permissão. Os invasores mais experientes podem tentar aumentar seus próprios privilégios dentro do sistema e se mover lateralmente na rede, coletando credenciais de outras contas, estabelecendo backdoors para acesso futuro e, ao mesmo tempo, extraindo dados valiosos.

Como os ataques de Kerberoasting funcionam?

Os ataques de Kerberoasting exploram uma combinação de senhas de contas de serviço fracas ou fáceis de adivinhar, especialmente quando são utilizados padrões de criptografia mais antigos, como o RC4. Esses ataques normalmente seguem o seguinte processo:

1. Um ator de ameaças, usando quaisquer credenciais de usuário de domínio válidas, pode usar diversas ferramentas para identificar contas do AD que tenham SPNs associados.  
2. O ator de ameaças então solicita um ticket de serviço do Kerberos para uma ou mais dessas contas identificadas ao serviço de concessão de tickets (TGS), usando ferramentas como o Rubeus do GhostPack ou o GetUserSPNs.py da SecureAuth Corporation.
3. O ator de ameaças recebe o ticket do centro de distribuição de chaves Kerberos (KDC). O ticket é criptografado com uma versão em hash da senha da conta.
4. O ator de ameaças captura o tíquete do TGS e o mantém off-line.
5. Ele então tenta quebrar o hash da credencial de SPN para obter a senha da conta de serviço em texto não criptografado usando técnicas de força bruta e ferramentas como Hashcat ou JohnTheRipper.
6. Com a senha da conta de serviço em mãos, o ator de ameaças tenta se autenticar como a conta de serviço para obter acesso a qualquer serviço, rede ou sistema associado à conta comprometida.
7. Uma vez dentro do sistema, o invasor pode roubar dados, elevar seus próprios privilégios ou configurar backdoors na rede para acessos futuros.

Algumas coisas para se ter em mente:

• Os ataques de Kerberoasting não exigem contas de administrador de domínio nem contas com privilégios muito altos. Qualquer conta de usuário de domínio pode ser usada nesse tipo de ataque, já que todas elas têm a capacidade de solicitar tíquetes de serviço do TGS.
• O Kerberoasting exige que o adversário já tenha acesso a uma conta do usuário para solicitar os tickets do KDC, centro de distribuição de chaves Kerberos. Esse acesso pode ser obtido por vários meios, como engenharia social, malware ou até mesmo através da compra de credenciais de usuário na dark web.
• O SPN pode ser associado tanto a uma conta de usuário baseada em host quanto a uma conta de usuário de domínio. SPNs baseados em host não são suscetíveis a ataques de Kerberoasting, porque usam como senha uma chave longa e complexa, com renovação a cada 30 dias, em média. Essas senhas complexas e geradas aleatoriamente são extremamente difíceis de interceptar, mesmo com o uso de ferramentas e técnicas de força bruta avançadas. As senhas das contas do usuário de SPN, por outro lado, são criadas por humanos e, portanto, frequentemente têm as mesmas vulnerabilidades de outras senhas criadas manualmente. Em outras palavras, a senha do SPN pode ser considerada fraca, comum, desatualizada, reutilizada ou reciclada. Ferramentas avançadas de interceptação de senhas conseguem decifrá-las em poucas horas.
• Ataques de Kerberoasting também exploram uma falha na arquitetura do sistema, na qual qualquer usuário de domínio autenticado pode iniciar uma solicitação de TGS para qualquer serviço na rede. O controlador de domínio que recebe a solicitação geralmente não confere se o usuário tem autorização para acessar o serviço em questão. Como o controlador de domínio não verifica se o usuário solicitante deve ter permissão para solicitar um ticket de serviço para determinado SPN, os adversários podem obter tickets para qualquer conta de serviço e tentar decifrá-los off-line.

Como detectar e conter ataques de Kerberoasting

Embora as medidas tradicionais de cibersegurança possam ter dificuldades em detectar ataques de Kerberoasting em tempo real, as organizações podem adotar diversas estratégias para melhorar a postura de segurança e mitigar possíveis danos:

1. Desenvolver e implementar uma estratégia e conjunto de ferramentas abrangentes para a segurança de identidade

Para melhorar sua postura de segurança, as organizações devem desenvolver e implementar uma estratégia e um conjunto de ferramentas completos para segurança de identidade.

A segurança de identidade é uma solução abrangente que garante a segurança de todos os tipos de identidade na empresa — humanos ou máquinas, ambientes híbridos ou no local, comuns ou privilegiados — para detectar e prevenir ataques baseados em identidade, em especial quando os adversários conseguem ignorar as medidas de segurança de endpoint. Como parte da estratégia de segurança de identidade, as organizações devem:

Assegurar uma rotina rigorosa de higiene de senhas: uma das medidas mais eficazes para reduzir o risco de ataques de Kerberoasting é exigir que os usuários criem senhas fortes, especialmente para contas de serviço com SPNs associados. Senhas fortes devem ser:

• Complexas: compostas por pelo menos 14 caracteres, incluindo uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais.
• Aleatórias: evitar palavras, frases ou padrões reconhecíveis.
• Atualizadas regularmente: rotacionadas periodicamente para reduzir a janela de oportunidade para os invasores.

Senhas longas, complexas e aleatórias são infinitamente mais difíceis de decifrar com ferramentas de quebra de senhas. A atualização frequente das senhas limita o tempo disponível para que os invasores quebrem os hashes.

A equipe de TI precisa garantir que todas as contas de serviço tenham a opção "Esta conta oferece suporte à criptografia Kerberos AES de 128/256 bits" habilitada. Quando a criptografia AES é utilizada para criptografar os tickets de serviço Kerberos, um hash de senha mais forte também é empregado, dificultando significativamente a quebra da senha.

• Identificar contas de serviço privilegiadas: qualquer conta pode ser alvo de um ataque de Kerberoasting, mas as contas de admin continuam sendo as mais vulneráveis, porque concedem aos invasores acesso a níveis de privilégio mais elevados.
• Remover os SPNs das contas de usuários: certifique-se de que os nomes principais de serviço (SPNs) não estejam registrados em contas de usuário, pois isso pode expô-las inadvertidamente a ataques de Kerberoasting. Os SPNs são, por vezes, atribuídos a contas do usuário quando administradores ou desenvolvedores instalam serviços, seja manualmente ou automaticamente durante a configuração do software. Essa prática pode deixar as contas desnecessariamente vulneráveis a ataques de Kerberoasting. Em vez disso, utilize contas de serviço dedicadas ou contas de serviço gerenciadas em grupo (gMSAs) para reduzir o risco.
• Implementar contas de serviço gerenciadas em grupo (gMSAs): o uso de gMSAs proporciona gerenciamento automático de senhas e controles de segurança aprimorados, reduzindo o risco associado ao gerenciamento manual de senhas.
• Monitorar solicitações de tíquetes do Kerberos: audite e monitore regularmente as solicitações de tickets do Kerberos para detectar padrões incomuns que indiquem um ataque. Procure por anomalias, como um número excessivo de solicitações de TGS em um curto período, solicitações para contas com privilégios elevados ou tentativas originadas de hosts incomuns. Picos incomuns em solicitações de tíquete ou tentativas repetidas de solicitar tíquetes de serviço podem ser um sinal de alerta.
• Aplicar o princípio do privilégio mínimo: restrinja as contas de serviço aos privilégios mínimos necessários para o desempenho de suas funções. Reduzir as permissões desnecessárias limita o impacto de uma conta comprometida e ajuda a prevenir o movimento lateral por parte dos invasores.
• Exigir autenticação multifatorial (MFA): a implementação da MFA adiciona uma camada extra de segurança, dificultando que invasores explorem credenciais roubadas.

Infelizmente, muitas organizações não têm visibilidade completa de todas as contas privilegiadas que existem, especialmente as antigas e não utilizadas. As organizações podem usar ferramentas como o BloodHound para analisar os relacionamentos do Active Directory e identificar contas de serviço com privilégios elevados. Os dados coletados pelo BloodHound são armazenados em um banco de dados Neo4j, que pode ser diretamente consultado com a linguagem Cipher. As duas consultas Cipher mostradas abaixo podem ajudar a identificar as contas de serviço que possuem privilégios administrativos. A primeira consulta retorna as contas de serviço e as ordena de acordo com o número de hosts com privilégios administrativos locais explícitos ou delegados por grupo. A segunda consulta retorna as contas de serviço que pertencem a um grupo de usuários específico do Active Directory que, neste caso, é o grupo de Admins do Domínio.

• Integrar a solução de segurança de identidade: a solução de segurança de identidade também deve ser integrada às ferramentas e processos de Gerenciamento de Identidade e Acesso (IAM) já vigentes na organização, bem como a uma arquitetura Zero Trust.

As ferramentas do Falcon® Identity Protection possibilitam a auditoria completa de identidades e o entendimento sobre as contas, protocolos e serviços acessados por cada usuário. A plataforma Falcon integra-se com soluções de MFA/IAM de parceiros para aprimorar a segurança da identidade e impor autenticação baseada em risco.

4. Implementar a investigação de ameaças proativa

A verdadeira investigação de ameaças proativa, como a oferecida pelo Falcon OverWatch™, possibilita a busca contínua, 24 horas por dia, por ataques desconhecidos e furtivos que abusam de credenciais roubadas e são realizados sob o disfarce de usuários legítimos. Estes são os tipos de ataques que as medidas de segurança padrão podem acabar deixando passar. Com base na experiência adquirida no "combate diário" contra atores de ameaças persistentes avançadas (APTs) sofisticados, a equipe OverWatch identifica e rastreia milhões de pistas sutis de investigação diariamente, validando a legitimidade delas e alertando os clientes quando necessário, evitando falsos positivos.

3. Habilitar a proteção de endpoint de última geração

O acesso a credenciais é uma técnica amplamente utilizada por invasores devido à sua alta eficácia. As organizações têm que levar a sério as ameaças de roubo de credenciais e implementar estratégias eficazes para evitar a exploração no nível do endpoint. Implementar uma solução de segurança de endpoint de última geração, como a plataforma CrowdStrike Falcon®, é fundamental para detectar e prevenir ataques de Kerberoasting. A detecção de ameaças baseada em identidade do Falcon pode identificar comportamentos de autenticação anormais, detectar solicitações incomuns de tickets do Kerberos e sinalizar o uso indevido de credenciais em tempo real, ajudando as organizações a impedir ameaças baseadas em identidade antes que elas se agravem.

Abordagem e experiência da CrowdStrike na prevenção de ataques de Kerberoasting

A CrowdStrike observa frequentemente que adversários exploram credenciais de contas legítimas ao longo de todo o ciclo de vida dos ataques. Na mais recente Avaliação MITRE Engenuity ATT&CK, a plataforma Falcon demonstrou sua alta eficácia na detecção de ataques baseados em credenciais, incluindo os de Kerberoasting.

Logo no início da avaliação, a plataforma Falcon identificou de imediato que senhas comprometidas e contas violadas estavam sendo usadas para solicitar acesso ao sistema. A detecção precoce impediu que o avaliador independente obtivesse acesso inicial ao ambiente, interrompendo o teste antes mesmo que ele começasse. Esse fato tornou o CrowdStrike Falcon® a única solução dentre as avaliadas na qual um componente de proteção da plataforma teve que ser desativado para que o teste pudesse prosseguir.

Mesmo com nossas capacidades de proteção de identidade desabilitados, a plataforma Falcon alcançou 100% de prevenção em todas as nove etapas do framework MITRE ATT&CK.

A proteção contra ataques que exploram credenciais roubadas ou comprometidas é especialmente importante no cenário de riscos atual. De acordo com o último Relatório Global de Ameaças da CrowdStrike, os anúncios de brokers de acesso aumentaram 50% em relação ao ano anterior. Para deter o adversário em tempo real e impedir o avanço dos ataques, é necessária uma abordagem unificada de segurança que imponha o princípio de Zero Trust no endpoint, na identidade e nos dados.