«Kerberoasting» & «BloodHound» i skyggenes rike!

Kerberos er en nettverksautentiseringsprotokoll som brukes til å verifisere brukeridentiteter i et nettverk. Den er grunnleggende for sikkerheten i Active Directory, som fungerer som ryggraden i mange organisasjoners IT-infrastruktur. I dette ligger nøkkelen til hvorfor Kerberoasting er så farlig.

Kerberoasting er en angrepsteknikk som utnytter sårbarheter i Kerberos-autentiseringssystemet. Teknikken gir angripere muligheten til å hente krypterte autentiseringsbilletter (TGTs - Ticket Granting Tickets) som er lagret i Active Directory. Disse billettene kan deretter bli bruteforced for å avdekke passordene til brukerkontoer.

Nedenfor beskrives det hvordan Kerberoasting kan bli brukt for å oppnå domene-administratorrettigheter.

1. Identifisering av potensielle mål
   En angriper starter med å skanne Active Directory- miljøet for å identifisere mulige mål. Dette kan inkludere tjenester som kjører under brukerkontoer som er registrert med Service Principal Names (SPN). For dette eksempelet vil det si at angriperen identifiserer en SQL-servertjeneste som kjører under brukerkontoen «SQLServiceAccount.»
   
2. Forespørsel om TGT for målkontoen
   Angriperen sender en autentiseringsforespørsel til Active Directorys Key Distribution Center (KDC) og ber om en Ticket Granting Ticket (TGT) for brukerkontoen «SQLServiceAccount.» Denne forespørselen kan være gjennom et verktøy som Mimikatz.
   
   
3. Eksport og dekryptering av TGT-ene
   Når angriperen har mottatt TGT-en for «SQLServiceAccount,» kan de eksportere den og deretter begynne dekrypteringsprosessen offline. TGT-ene er kryptert med en Hash av brukerens passord, og angriperen bruker bruteforce- eller ordbokangrep for å gjette passordet.
   
   
4. Privilegie-eskalering
   Når angriperen har fått tilgang til «SQLServiceAccount,» kan de utforske systemet for å identifisere måter å eskalere privilegier på. I dette tilfellet kan de oppdage at «SQLServiceAccount» har enkelte administrative rettigheter i Active Directory eller er medlem av en gruppe som gir dem tilgang til Domain Controllers.
   
   Angriperen kan deretter bruke disse rettighetene til å bevege seg videre i nettverket, utføre «pass-hash» angrep for å få tilgang til andre kontoer og til slutt oppnå Domain Administrator rettigheter.
   
5. Full tilgang til Active Directory
   Når angriperen har fått Domain Administrator rettigheter, har de full tilgang til Active Directory-miljøet. Dette gir dem kontroll over alle aspekter av nettverket, inkludert brukerkontoer, datamaskiner, ressurser og til og med muligheten til å opprette nye kontoer eller endre sikkerhetsinnstillinger.

BloodHound i hendene på angripere er som å gi dem et kart over organisasjonens svakheter. Dette kraftige verktøyet bruker grafteori for å analysere komplekse forhold mellom brukerkontoer, datamaskiner og ressurser i Active Directory. Resultatet er en visuell presentasjon av nettverket som kan vise angripere hvordan de kan eskalere privilegier og få tilgang til sensitive data.

BloodHound er et kraftig verktøy som brukes til å kartlegge og analysere Active Directory-miljøer for muligesårbarheter og misbruk. Når det kommer til Kerberoasting, kan BloodHound være en nyttig ressurs for angripere som ønsker å utforske mulige angrepsveier.

Nedenfor er det beskrevet hvordan BloodHound brukes i forbindelse med Kerberoasting.

1. Datainnsamling med BloodHound
   Først må angriperen få tilgang til målorganisasjonens Active Directory miljø, vanligvis ved å få en «fot i døren»gjennom andre metoder som Phishing, skadelig programvare eller svakheter i nettverket.
   
   Når angriperen har tilgang til et datamaskinnettverk, kan de kjøre BloodHound fra en lokal maskin i nettverket eller på en kompromittert maskin for å begynne å samle inn data om Active Directory.
2. Samle data om Active Directory
   BloodHound skanner Active Directory og samler informasjon om brukerkontoer, grupper, datamaskiner, tjenester, tilganger og relasjoner mellom dem.
   
   Den genererer et grafisk kart som viser hvordan brukerkontoer og grupper er koblet sammen og hvilke tilganger de har.
   
3. Analyse av privilegier og tilganger
   Angriperen kan bruke BloodHound til å identifisere brukerkontoer med høyere privilegier i Active Directory, for eksempel medlemskap i administrative grupper eller tilgang til kritiske ressurser. BloodHound kan også avdekke konfigurasjonsfeil eller unødvendige tillatelser som kan misbrukes.
   
4. Identifisering av Kerberoasting-muligheter
   BloodHound kan hjelpe angriperen med å identifisere brukerkontoer som er registrert med Service Principal Names (SPN) og dermed mulige Kerberoasting- mål.
   
   Ved å analysere grafen som BloodHound genererer, kan angriperen finne kritiske stier som gir dem muligheten til å eskalere sine privilegier ved å utføre Kerberoasting-angrep.
   
5. Planlegging og gjennomføring av angrep
   Med informasjonen fra BloodHound kan angriperen planlegge Kerberoasting-angrepet nøye. De kan fokusere på de mest lovende målene basert på analysen av Active Directory-miljøet.
   
   Angriperen kan deretter bruke Kerberoasting-teknikken for å hente TGT-er for de valgte målene, for deretter prøve å dekryptere dem for å avdekke passordene.
   
6. Eskalering av privilegier og angrepsutvidelse
   
   Hvis Kerberoasting-angrepet lykkes, og angriperen får tilgang til en målbrukerkonto, kan de eskalere privilegiene sine videre ved å bevege seg gjennom Active Directory og utforske andre måter å utvide angrepet på.
   
   For forsvarere er BloodHound like verdifullt. Det gir muligheten til å identifisere og tette sårbarheter før angriperne utnytter dem. Ved å analysere kartet BloodHound genererer kan organisasjoner identifisere overflødige tillatelser, uvanlige nettverksruter og potensielle "veier" som kan misbrukes av angripere.

Sikkerhetstiltak for å beskytte seg mot «Kerberoasting» og «Bloodhound»

For å beskytte seg mot Kerberoasting og bruk av BloodHound kreves en helhetlig tilnærming til sikkerhet. Men noen av de viktigste tiltakene du kan gjøre er:

1. Sterke passord og beskyttelse av hashverdier
   - Implementer en streng passordpolitikk som krever sterke, komplekse passord, inkludert en kombinasjon av store og små bokstaver, tall og spesialtegn.
   
   - Aktiver passordhashsalting for å beskytte passordhashene mot regnbuebords- og ordbokangrep.
   
   - Bruk passordbehandlingssystemer som lagrer passordene sikkert og beskytter dem mot tilgjengelig informasjon for angripere.
   
2. Begrensning av Administrative Rettigheter:
   - Implementer prinsippet om minste privilegium ved å begrense administrative rettigheter til bare de som trenger dem.
   
   - Reduser antallet kontoer med Domain Administrator tilgang til et absolutt minimum.
   
   - Bruk administrasjonsservere som krever flerfaktorautentisering for administrativ tilgang.
   
3. Overvåking og Logginspeksjon:
   - Aktiver omfattende logging og overvåking av Active Directory hendelser, inkludert autentiseringsforsøk og endringer i gruppetilhørighet.
   
   - Bruk en SIEM-løsning eller et dedikert logganalyseverktøy for å analysere loggdata i sanntid og oppdage mistenkelig aktivitet.
   
   - MDR varslinger for potensielle angrep, inkludert Kerberoasting forsøk og bruk av BloodHound-verktøyet.

Husk at ingen sikkerhetsløsning er 100%, så det er viktig å benytte flere lag av sikkerhet og kontinuerlig overvåke og tilpasse forsvarstiltakene dine etter hvert som trusselbildet utvikler seg. Å være proaktiv og godt forberedt er nøkkelen til å beskytte organisasjonen din.

I Fence fokuserer vi utelukkende på å bistå våre kunder med å forhindre, oppdage og håndtere dataangrep. Vi tror dette gjøres best ved å levere avanserte sikkerhetstjenester på en enkel men effektiv måte.