Kerberoasting
主な洞察
- 近年では、ネットワーク侵入テストの20%以上でケーバロストが使用されていることが確認されており、攻撃者の間で人気があることを示しています。(出典:Sans Institute)
- 強力なGPUアレイを使用することで、カーバロストパスワードをクラックする平均時間が大幅に短縮され、強力なパスワードポリシーの必要性が浮き彫りになった。(出典:Hashcat)
ケルベロスはどのように機能するのか?
Kerberos 認証プロセスには、ネットワークへのアクセスを要求するユーザまたはサービスの ID を検証する一連のステップが含まれる。これには、チケット要求、検証、および通信の完全性を保証するための安全な鍵の交換が含まれる。
Kerberosは、Key Distribution Center (KDC)として知られる信頼できるサードパーティのエンティティを使用して鍵を配布する。KDCはクライアントとサーバ間でセッション鍵を安全に共有し、権限のないエンティティがアクセスするのを防ぐ。
ゴールデン・チケット攻撃
Kerberosのゴールデンチケットは、Kerberos認証システムの脆弱性を悪用することで生成できる、強力で潜在的に悪意のあるアーティファクトである。サイバーセキュリティの文脈では、ゴールデンチケットは、攻撃者にネットワークへの長期的かつ無制限のアクセスを許可する偽造されたチケット付与チケット(TGT)を指します。
偽造チケット(TGT/Golden ticket)または漏洩したアカウントを使用し、攻撃者はネットワーク上のサービス(SPN)へのアクセスを要求することができる。このサービスは、高権限のサービスアカウント(例えばSQLサービスアカウント)に関連付けられます。鍵配布センター(KDC)は、サービスアカウントのパスワードの公開鍵で暗号化されたサービスチケットを発行する。攻撃者はこのサービスチケットをハッシュに変換し、HashcatやJohn The Ripperにエクスポートして、オフラインでパスワードを解読することができる。この攻撃は、サービス・アカウントのパスワード衛生状態の悪さ、サービス・アカウント間でのパスワードの再利用、サービス・アカウントのパスワードの有効期限切れ、さらにはActive Directoryの古いSPNエントリーの削除漏れなどに依存している。
Kerberoasting
ネットワーク上のKerberoasting 潜在的な証拠を探すには、Vectra Recall Kerberoasting ダッシュボードが良い出発点です。このダッシュボードは、オフラインでクラックされる可能性のある弱い暗号(RC4)でのチケット応答を監視します。一般的に、弱い暗号の使用はあなたの環境内では最小限であるべきですが、ここでの例と同様に、あなたの環境では多数のKerberos RC4リクエストがある可能性があり、このダッシュボードはあまり効果的ではありません。
このダッシュボードを見ると、弱いRC4暗号の全ユーザーを示すトップ・チャートが表示されます。このチャートは、組織内でこの弱い暗号を使用している人がいないため、空であることが望ましいですが、次のように表示されることもあります。これらのKerberosトランザクションはすべて合法的なビジネスケースによるものであるため、凡例の各IPの横にある「-」アイコンをクリックして、これらのインスタンスをチャートから非表示にする必要があります。
最もよく発生するサーバーを非表示にした後、調査が必要な明確な異常値を含む以下のようなグラフが表示されるはずです。
このサーバーIPをクリックし、"+"アイコンをクリックして、このサーバーだけに焦点を当てます。このダッシュボードの下部には、このサーバーにリクエストを行っているクライアントがすぐに表示されます。単一のクライアントがこのサーバーに対して大量のリクエストを行っている場合は、LDAPやRPCなどの他のメタデータソースに軸足を移して、指定された時間枠の周囲で他の不審なアクティビティが発生していないかどうかを判断する必要があります。
Kerberoasting関連する当社検出情報の詳細:
ケルベロースティングからネットワークを保護するには、強力なパスワードポリシー、注意深い監視、継続的な教育の組み合わせが必要です。Vectra AIは、ケルベロースティングやその他の認証情報窃取テクニックを示す不審な活動を検知 のに役立つ高度なセキュリティソリューションを提供しています。お客様の防御を強化し、認証プロトコルとサービスアカウントの完全性を確保するために、ぜひ当社にご相談ください。
サイバーセキュリティの基礎知識
よくあるご質問(FAQ)
Kerberos認証プロトコルとは何ですか?
Kerberos認証プロトコルは、秘密鍵暗号を使用するネットワーク認証システムであり、非セキュアなネットワーク上で通信するノードが、セキュアな方法で互いの身元を証明できるようにする。Windows Active Directory環境で広く使われている。
ケルベロースティング攻撃はどのように機能するのか?
ケルベロースティング攻撃では、まず攻撃者が一般ユーザーとしてネットワークにアクセスする。次に、Active Directoryのサービス・プリンシパル名(SPN)で登録されているサービス・アカウントを列挙する。攻撃者はこれらのアカウントのTGSチケットを要求し、そのチケットはアカウントのパスワードを使って暗号化される。これらのチケットをオフラインで解読し、アカウントの平文パスワードを発見することができる。
ケルベロースティング攻撃が成功した場合、どのような影響がありますか?
ケルベロースティング攻撃が成功すると、侵害されたサービス・アカウントが持つアクセス・レベルに応じて、ネットワークの機密エリアへの不正アクセス、データ漏洩、ネットワーク内の横移動、権限の昇格につながる可能性がある。
組織はどのようにケロベロ活動を検知 できるのか?
組織は、サービスアカウントに対する異常な量のTGSリクエスト(特に非管理ユーザーによるもの)を監視するか、または大量のチケットリクエストを示すネットワークトラフィックの異常なパターンを識別することによって、ケルベロースティング活動を検知 ことができる。
ケルベロースティング攻撃を防ぐには、どのような戦略が有効ですか?
予防策には以下が含まれる:サービスアカウントに強力で複雑なパスワードを導入し、定期的に変更する。サービス・プリンシパル名(SPN)を登録するサービス・アカウントの数を制限する。ブルートフォースの試みを阻止するためのアカウント・ロックアウト・ポリシーを採用する。Advanced Threat Analytics(ATA)または同様のツールを使用して、ケルベロースティングを示す不審な活動を監視し、警告する。
多要素認証(MFA)はケルベロースティングのリスクを軽減できるか?
MFA はユーザー・アカウントのセキュリティを強化するための効果的な手段であるが、ケ ルベロースティング攻撃は、通常認証に MFA を利用しないサービス・アカウントを特に標的にす るため、この種の攻撃に対する防御には他の防御手段の方がより適切である。
サービス・アカウントの定期的なパスワード監査と複雑性は、どの程度重要ですか?
定期的なパスワード監査とサービス・アカウントのパスワードの複雑性の強制は、 ケルベロースティングに対する重要な防御策である。強力で複雑なパスワードは、たとえTGSチケットが攻撃者によって入手されたとしても、クラックするのがはるかに困難です。
カーバオースティング攻撃が疑われる、あるいは確認された場合、組織はどのように対応すべきか?
組織は、侵害されたサービス・アカウントのパスワードを直ちにリセットし、徹底的なセキュリティ監査を実施して攻撃者が獲得したアクセス範囲を特定し、セキュリティ・ポリシーと慣行を見直し、強化して、今後のインシデントを防止すべきである。
ケルベロースティングを防止するために、セキュリティ意識向上トレーニングはどのような役割を果たしますか?
セキュリティ意識向上トレーニングは、管理者やITスタッフに、ケルベロースティング攻撃の性質、サービス・アカウントの安全なパスワード慣行の重要性、認証・承認プロセスの注意深い監視の必要性を伝えることで、重要な役割を果たす。
今後、どのような進展が、ケルベロースティング攻撃の普及や検知に影響を与える可能性があるのか?
今後の開発には、Kerberosチケットを悪用されにくくする暗号化と認証メカニズムの進歩や、より効果的に異常な認証要求を検出し対応するためのAIや機械学習技術の向上が含まれる可能性がある。