攻撃テクニック

Kerberoasting

Kerberosプロトコルは、パスワードの再利用や安全でないパスワードのリスクを軽減しますが、Kerberoasting 攻撃にさらされる可能性があります。ここでは、この一般的な攻撃手法に関して知っておくべきことを説明します。

定義

Kerberoasting とは?

Kerberoasting は、Kerberos(対称鍵暗号と鍵配布センター(KDC)を使ってユーザーの身元を確認する認証プロトコル)を標的にした攻撃手法である。

Kerberoasting 攻撃は、認証されたドメイン・ユーザーが、一意な識別子となるサービス・プリンシパル名(SPN)のサービス・チケットを要求したときに始まる。

攻撃者は、提携するサービス・アカウントのパスワードのハッシュで暗号化されたサービス・チケットを取り出す。その後、平文のパスワードの解読を試みる。

仕組み

Kerberoasting の仕組みは?

Kerberoasting 攻撃は、Kerberosチケット付与サービス(TGS)からアクセストークンを要求するために使用される、KDCによって発行されたチケット付与チケット(TGT)認証トークンを悪用することによって動作します。簡単に言うとKerberosプロトコルは、ドメイン・ユーザー・アカウントを、パスワードの再入力や保存を常に要求することなく認証することができます。攻撃者はこれを悪用するための特別なツールを持っています。

  1. サービス・アカウントの列挙:攻撃者はすでにネットワークに足がかりを持っており、サービス・アカウントを列挙する。これらは通常、Active Directoryに登録されたSPNを持つアカウントである。
  2. チケットの要求:攻撃者は特定されたサービスアカウントのサービスチケット(TGS)を要求する。
  3. チケット付与:ドメインコントローラーは、サービスアカウントのパスワードハッシュで暗号化されたチケット付与サービス(TGS)チケットを発行する。
  4. 暗号化されたチケットの抽出Kerberos プロトコルは、サービスアカウントの NTLM ハッシュで暗号化されたデータを含む、暗号化されたチケットを返す。
  5. オフライン・クラッキング:攻撃者はJohn the RipperやHashcatのようなツールを使ってパスワードハッシュをクラックし、平文のパスワードを明らかにする。

Kerberoasting プロセス
攻撃者がそれを使う理由

攻撃者はなぜKerberoasting

攻撃者は Kerberoastingを使用して、Microsoft Active Directory環境内のサービス・アカウントのハッシュ化されたパスワードを取得します。Kerberos認証の仕組みを悪用することで、攻撃者はこれらのパスワードハッシュを抽出し、オフラインでクラックを試みることができる。これらのハッシュのクラックに成功すると、攻撃者に昇格権限が付与され、ネットワーク内で横方向に移動したり、機密データにアクセスしたり、さらにシステムを侵害したりすることが可能になります。

攻撃者がKerberoasting を使う理由は以下の通りだ:

特権エスカレーション

  • 高権限アカウントへのアクセス:サービス・アカウントは多くの場合、高い権限を持つ。その認証情報を得ることで、攻撃者はより高い権限を必要とするアクションを実行できるようになります。
  • 横方向の移動:サービスアカウントにアクセスすることで、攻撃者はネットワーク内のさまざまなシステムを移動し、攻撃範囲を拡大することができます。

ステルス搾取

  • 低い検出リスク:Kerberoasting は、認証されたドメイン・ユーザーであれば誰でも実行でき、サービス・チケットを要求することが標準的な動作であるため、直ちにセキュリティ警告を引き起こすことはない。
  • オフラインパスワードクラッキング:パスワードクラッキングはオフラインで行われるため、ネットワーク監視ツールによる検出を回避できる。

脆弱なセキュリティ慣行の悪用

  • 脆弱なパスワードや未変更のパスワード:サービスアカウントのパスワードは、脆弱であったり、定期的に変更されていないことが多く、クラッキングの影響を受けやすい。
  • 設定の誤り:アカウントとパーミッションが不適切に設定されていると、Kerberoasting 攻撃が容易になります。

特別な特権は必要ない

  • 一般ユーザーがアクセス可能:ドメインにアクセスできるユーザーであれば誰でもサービスチケットをリクエストできるため、広くアクセス可能な攻撃ベクトルとなる。
  • ネットワーク制限の回避:攻撃者はKerberoasting を実行するために、ドメインコントローラーや機密サーバーに直接アクセスする必要はありません。
プラットフォーム検出

検知 Kerberoasting 攻撃方法

Kerberoasting 攻撃から組織を守るには、早期発見が重要です。異常なKerberosトラフィックパターンとチケット要求の監視に加えて、実際の要求の異常を特定するために、動作ベースの検出を使用します。 

Vectra AIは2種類のKerberoasting : 

  • SPN Sweep検出は、Active Directory環境内のサービスプリンシパル名(SPN)を列挙しようとする試みを特定することに重点を置いています。これにより、攻撃者が標的とするサービスアカウントに関する情報を収集している可能性があることを示します。
  • Cipher Downgrade検出は、RC4暗号化など、より弱い暗号化タイプを使用してKerberosチケットを要求しようとする試みを探します。これは、攻撃者がクラックしやすいチケットを生成するためにシステムを操作している可能性が高い場合に表示されます。

アカウント・スキャンの検出は、有効なユーザー・アカウントをKerberos認証サービスに照会しようとする試みを特定する。これは、Kerberoasting の一般的な前兆である。

よくあるご質問(FAQ)