Kerberoasting Attacks

Le minacce alla sicurezza informatica continuano a evolversi e gli attacchi Kerberoasting sono diventati una preoccupazione significativa per le reti aziendali. Questi attacchi hanno registrato un drastico aumento del 583% nell’ultimo anno, rappresentando un rischio sostanziale per le organizzazioni che si affidano a sistemi di autenticazione basati su Windows.

Il termine “Kerberoasting” combina “Kerberos”, il protocollo di autenticazione che prende il nome dal cane a tre teste della mitologia greca, con “roasting”, che riflette la sua natura aggressiva nel compromettere la sicurezza della rete. Identificato per la prima volta intorno al 2014, questo metodo di attacco ha guadagnato nuova attenzione con il passaggio delle organizzazioni all’infrastruttura cloud, mantenendo al contempo i sistemi legacy.

Il Kerberoasting è una sofisticata tecnica di attacco post-exploit che prende di mira gli account di servizio all’interno degli ambienti Active Directory, sfruttando le vulnerabilità del protocollo di autenticazione Kerberos. Questo attacco basato sull’identità consente agli autori delle minacce di ottenere gli hash delle password degli account Active Directory con i nomi principali del servizio (SPN) associati, che possono poi essere decifrati offline per rivelare le credenziali in chiaro.

Gli attacchi di Kerberoasting sono particolarmente preoccupanti perché qualsiasi utente di dominio autenticato può richiedere ticket di servizio Kerberos per qualsiasi servizio sulla rete, indipendentemente dalla sua autorizzazione ad accedere a tale servizio. Ciò che li rende particolarmente pericolosi è la loro natura furtiva e la loro efficacia. L’attacco opera interamente all’interno di flussi di lavoro di autenticazione legittimi, rendendo difficile il rilevamento attraverso le misure di sicurezza tradizionali.

Una volta ottenuto un ticket di servizio, l’autore dell’attacco può lavorare offline per decifrare l’hash della password utilizzando tecniche di forza bruta, evitando avvisi di rilevamento, registrazioni o blocchi dell’account. Questa capacità offline, combinata con l’assenza di malware nella catena di attacco, rende molte tecnologie difensive tradizionali inefficaci nell’identificare e bloccare questi attacchi.

Kerberos, l’obiettivo principale degli attacchi Kerberoasting, è un robusto protocollo di autenticazione di rete sviluppato dal MIT che funge da tecnologia di autorizzazione predefinita negli ambienti Windows moderni e in numerose altre piattaforme. Il protocollo utilizza la crittografia a chiave segreta e un sistema di terze parti chiamato Key Distribution Center (KDC) per verificare in modo sicuro le identità degli utenti e autenticare le applicazioni client-server.

Anziché trasmettere le password attraverso la rete, Kerberos utilizza chiavi private crittografate e crittografia a chiave segreta a tempo limitato per stabilire comunicazioni sicure. Il processo di autenticazione si basa su un sofisticato sistema basato su ticket in cui il Key Distribution Center gestisce tre componenti critici: un database, un Authentication Server (AS) e un Ticket Granting Server (TGS). Quando un utente tenta di accedere alle risorse di rete, il sistema emette ticket crittografati che verificano la sua identità senza trasmettere le credenziali effettive attraverso la rete.

Questo approccio garantisce l’autenticazione reciproca, in cui sia il client che il server verificano l’identità l’uno dell’altro, impedendo efficacemente i tentativi di furto d’identità e gli attacchi man-in-the-middle. La funzionalità di single sign-on e la natura indipendente dalla piattaforma del protocollo lo hanno reso particolarmente prezioso per le reti aziendali di grandi dimensioni, anche se i moderni ambienti cloud presentano nuove sfide per le implementazioni Kerberos tradizionali.

Un attacco Kerberoasting si svolge in diverse fasi distinte, che iniziano con l’accesso iniziale alla rete e culminano con l’estrazione della password. L’attacco inizia quando un autore della minaccia ottiene l’accesso a qualsiasi account utente di dominio autenticato nella rete. Da questa posizione, l’autore dell’attacco identifica gli account di servizio con SPN, che diventano gli obiettivi primari dello sfruttamento.

Sequenza dell’attacco:

• Accesso iniziale: ottenere le credenziali per qualsiasi account utente di dominio
• Ricognizione: enumerare gli account di servizio con SPN
• Richiesta TGS: richiedere i ticket di servizio dal controller di dominio
• Estrazione dei ticket: acquisire i ticket TGS crittografati utilizzando strumenti come Rubeus o Mimikatz
• Cracking offline: tentare di decifrare le password degli account di servizio

Esecuzione tecnica

Il controller di dominio genera questi ticket crittografati con l’hash della password NTLM dell’account di servizio di destinazione senza verificare se l’utente richiedente dispone effettivamente delle autorizzazioni per accedere al servizio. L’efficacia dell’attacco deriva dalla sua capacità di operare all’interno di flussi di lavoro di autenticazione legittimi: il controller di dominio elabora queste richieste di ticket come normali operazioni Kerberos.

Strumenti per il cracking delle password

• Hashcat: ottimizzato per il cracking delle password ad alta velocità basato su GPU
• John the Ripper: specializzato in attacchi basati su dizionario
• Impacket: utilizzato per la manipolazione e l’estrazione dei ticket

La natura offline della fase di cracking delle password rende l’attacco particolarmente pericoloso, poiché aggira le misure di sicurezza come il blocco degli account e i sistemi di monitoraggio tradizionali. Il tasso di successo aumenta in modo significativo quando si prendono di mira account di servizio con password deboli o configurati con impostazioni “password mai scaduta”, che spesso seguono linee guida di sicurezza obsolete.

Gli attacchi di Kerberoasting comportano gravi rischi per la sicurezza delle organizzazioni, con perdite finanziarie che raggiungono proporzioni significative.

Il gruppo BlackSuit ransomware lo ha dimostrato sfruttando con successo le credenziali degli account di servizio per ottenere un accesso elevato alla rete. Allo stesso modo, le campagne di Kerberoasting del gruppo Akira ransomware hanno colpito 250 organizzazioni in tutto il mondo, causando il pagamento di 42 milioni di dollari in riscatto.

Rischi organizzativi primari

• Movimento laterale: gli aggressori sfruttano gli account di servizio compromessi per attraversare le reti e accedere a dati sensibili e proprietà intellettuale.
• Elevazione dei privilegi: gli autori delle minacce possono elevare il proprio accesso al livello di amministratore di dominio, ottenendo il controllo completo sui domini Active Directory.
• Compromissione dell’infrastruttura: le organizzazioni devono affrontare violazioni complete dell’infrastruttura, che interessano sia i sistemi cloud che quelli legacy.

Incidenti di sicurezza degni di nota

• Operazione Wocao: gli autori delle minacce con base in Cina hanno utilizzato il modulo Invoke-Kerberoast di PowerSploit per compromettere gli account di servizio Windows e mantenere un accesso persistente ai sistemi presi di mira.
• Campagna Carbon Spider: gli aggressori hanno utilizzato Rubeus per il Kerberoasting per recuperare gli hash AES, completando l’attacco in sole due ore e crittografando con successo interi domini.
• Violazione dell’OPM: gli autori delle minacce hanno sfruttato account di servizio compromessi per accedere ai fascicoli delle indagini preliminari di milioni di dipendenti federali, mantenendo l’accesso inosservato per mesi.

La natura furtiva di questi attacchi ne aumenta l’impatto, poiché l’infrastruttura legacy e il normale rumore di autenticazione rendono particolarmente difficile il rilevamento. Le aziende spesso devono affrontare lunghi periodi di compromissione non rilevata, con conseguente esposizione prolungata dei dati e potenziali violazioni della conformità normativa.

Le organizzazioni devono implementare più livelli di difesa per proteggersi dagli attacchi Kerberoasting. Una strategia di sicurezza completa combina politiche di protezione delle password, monitoraggio continuo e misure di autenticazione avanzate per creare una difesa efficace contro queste minacce sofisticate.

Controlli di sicurezza essenziali:

• Implementare politiche di password forti per gli account di servizio con password di almeno 25 caratteri, che includano combinazioni complesse di lettere, numeri e caratteri speciali. È necessario mantenere programmi di rotazione regolare delle password senza eccezioni.
• Implementare soluzioni di gestione degli accessi privilegiati (PAM) per ruotare automaticamente le credenziali degli account di servizio e gestire l’accesso agli account privilegiati. Questo approccio elimina il rischio di credenziali statiche e a lungo termine.
• Abilitare criteri di audit avanzati per monitorare le richieste di ticket TGS e implementare avvisi in tempo reale per modelli di autenticazione Kerberos sospetti. Configurare la registrazione per identificare richieste di ticket di servizio insolite.
• Limitare gli account di servizio ai privilegi minimi richiesti e verificare regolarmente le configurazioni SPN per rimuovere le assegnazioni non necessarie. Limitare il numero di account con SPN registrati.

Misure di protezione avanzate:

• Implementare account di servizio gestiti dal gruppo (gMSA) per automatizzare la gestione delle password ed eliminare la necessità di password statiche per gli account di servizio. Questi account gestiti offrono una sicurezza avanzata grazie alla rotazione automatica delle credenziali.
• Implementare l’autenticazione a più fattori (MFA) per tutti gli accessi privilegiati, inclusi la gestione degli account di servizio e le funzioni amministrative. Richiedere fattori di autenticazione aggiuntivi per le operazioni sensibili.
• Utilizzare il gruppo di sicurezza Utenti protetti di Microsoft per impedire l’uso di tipi di crittografia più deboli nella preautenticazione Kerberos. Questa misura aumenta significativamente la complessità dei tentativi di violazione delle password.
• Utilizzare i servizi certificati Active Directory (AD CS) per l’autenticazione dei servizi, ove possibile, riducendo la dipendenza dai metodi di autenticazione basati su password. L’autenticazione basata su certificati fornisce controlli di sicurezza più rigorosi.

Gli attacchi Kerberoasting rappresentano una minaccia in continua evoluzione per la sicurezza aziendale, che sfrutta i meccanismi di autenticazione fondamentali su cui le organizzazioni fanno affidamento quotidianamente. Comprendere questi attacchi è fondamentale, poiché gli autori delle minacce continuano a sfruttare tecniche sofisticate per compromettere gli account di servizio e ottenere accesso non autorizzato a sistemi critici. La crescente complessità degli ambienti ibridi e dell’infrastruttura cloud ha solo amplificato il potenziale impatto di questi attacchi.

Le organizzazioni devono adottare un approccio proattivo implementando misure di sicurezza complete. Valutazioni periodiche della sicurezza, insieme a una formazione continua del personale sulle minacce emergenti, creano una solida base per difendersi dal Kerberoasting e da vettori di attacco simili.

Le moderne strategie di rilevamento sfruttano più fonti di dati e tecniche di monitoraggio per identificare potenziali attività di Kerberoasting. Strumenti di sicurezza avanzati analizzano i modelli di autenticazione e le richieste di ticket di servizio per individuare comportamenti sospetti prima che gli aggressori riescano a compromettere gli account di servizio.

Di seguito sono riportati alcuni dei metodi e delle tecnologie più comuni per il rilevamento del Kerberoasting:

• Analisi del registro eventi: monitorare i registri con ID evento 4769 per individuare richieste di ticket TGS insolite e modelli di utilizzo della crittografia RC4-HMAC (tipo 0x17).
• Tecnologia di inganno: distribuire honeypot Kerberoasting con servizi attraenti ma inesistenti per intrappolare potenziali aggressori.
• Monitoraggio della rete: implementare strumenti di analisi del traffico di rete come Zeek per monitorare le attività del protocollo Kerberos e i tentativi di autenticazione.
• Gestione delle informazioni e degli eventi di sicurezza (SIEM): correlare gli eventi relativi a Kerberos su più sistemi e endpoint di autenticazione.
• Tracciamento delle identità: implementare strumenti di sicurezza delle identità per riconoscere i rischi dell’infrastruttura delle identità nelle fasi iniziali e i modelli di accesso insoliti.
• Analisi comportamentale: implementare sistemi di rilevamento basati sul comportamento per identificare anomalie nelle richieste di ticket di servizio.
• Monitoraggio dei comandi: tracciare le attività PowerShell sospette e le richieste di credenziali attraverso una registrazione completa di Active Directory.
• Rilevamento degli endpoint: utilizzare funzionalità avanzate di ricerca delle minacce per identificare i tentativi di compromissione a livello di endpoint.

Un rilevamento efficace si basa sulla corretta configurazione dei meccanismi di registrazione e sul monitoraggio continuo dei modelli di autenticazione.

Proofpoint Identity Protection offre una protezione completa contro gli attacchi basati sull’identità, come il Kerberoasting, grazie a funzionalità avanzate di rilevamento e risposta alle minacce. La soluzione fornisce un monitoraggio continuo dei modelli di autenticazione, risposte automatizzate alle attività sospette e una visibilità dettagliata delle minacce basate sull’identità in ambienti ibridi.

Combinando il machine learning con l’analisi comportamentale, Proofpoint aiuta le organizzazioni a rilevare e prevenire il furto di credenziali, fornendo al contempo controlli di autenticazione adattivi che proteggono gli account di servizio da tecniche di attacco sofisticate.