Kerberosプロトコルは、パスワードの再利用や安全でないパスワードのリスクを軽減しますが、Kerberoasting 攻撃にさらされる可能性があります。ここでは、この一般的な攻撃手法に関して知っておくべきことを説明します。
Kerberoasting は、Kerberos(対称鍵暗号と鍵配布センター(KDC)を使ってユーザーの身元を確認する認証プロトコル)を標的にした攻撃手法である。
Kerberoasting 攻撃は、認証されたドメイン・ユーザーが、一意な識別子となるサービス・プリンシパル名(SPN)のサービス・チケットを要求したときに始まる。
攻撃者は、提携するサービス・アカウントのパスワードのハッシュで暗号化されたサービス・チケットを取り出す。その後、平文のパスワードの解読を試みる。
Kerberoasting 攻撃は、Kerberosチケット付与サービス(TGS)からアクセストークンを要求するために使用される、KDCによって発行されたチケット付与チケット(TGT)認証トークンを悪用することによって動作します。簡単に言うとKerberosプロトコルは、ドメイン・ユーザー・アカウントを、パスワードの再入力や保存を常に要求することなく認証することができます。攻撃者はこれを悪用するための特別なツールを持っています。
攻撃者は Kerberoastingを使用して、Microsoft Active Directory環境内のサービス・アカウントのハッシュ化されたパスワードを取得します。Kerberos認証の仕組みを悪用することで、攻撃者はこれらのパスワードハッシュを抽出し、オフラインでクラックを試みることができる。これらのハッシュのクラックに成功すると、攻撃者に昇格権限が付与され、ネットワーク内で横方向に移動したり、機密データにアクセスしたり、さらにシステムを侵害したりすることが可能になります。
攻撃者がKerberoasting を使う理由は以下の通りだ:
Kerberoasting 攻撃から組織を守るには、早期発見が重要です。異常なKerberosトラフィックパターンとチケット要求の監視に加えて、実際の要求の異常を特定するために、動作ベースの検出を使用します。
Vectra AIは2種類のKerberoasting :
アカウント・スキャンの検出は、有効なユーザー・アカウントをKerberos認証サービスに照会しようとする試みを特定する。これは、Kerberoasting の一般的な前兆である。