Kerberoasting 攻击解释：如何预防

如今，针对组织的网络威胁不断成为头条新闻，确实很难跟上。本博客讨论 Kerberoasting 攻击，这是一种常见的攻击技术，攻击者会尝试破解 Active Directory 中服务帐户的密码。

这些攻击是如何展开的？网络犯罪分子想要达到什么目的？你如何对抗他们？

我们将在这篇文章中深入探讨所有这些细节和更多内容。

什么是 Kerberoasting？

Kerberoasting 是对 Kerberos 的暴力密码攻击，Kerberos 是一种身份验证和授权系统，是 Active Directory 的一部分。暴力密码攻击是指攻击者快速针对一个帐户尝试许多不同的密码，希望找到匹配的密码。暴力攻击可以尝试完全随机的密码，也可以做出更有根据的猜测（如密码喷洒和撞库）。

暴力破解技术通常会被身份验证系统所削弱，从而使它们对攻击者来说不再是一种引人注目的技术。例如，Active Directory 可以暂时锁定收到过多错误密码尝试的帐户。

Kerberoasting 对攻击者来说如此有用的技术是因为它是一种“离线”暴力攻击。在离线攻击中，密码猜测可以远离身份验证系统，并且可能远离防御者的网络。这意味着身份验证系统无法缓解攻击，并且使用审核软件很难检测到攻击。

了解 Kerberos

为了充分理解 Kerberos 烘焙，首先了解有关 Kerberos 本身的一些知识很有用。这并不是一个详尽的解释——Kerberos 可能是一个非常复杂的主题。 @SwiftOnSecurity 听到一个关于 Kerberos 的笑话：“有一次我试图向某人解释 Kerberos。然后我们都不明白。 ”

Kerberos 被 Active Directory 以外的身份验证和授权系统使用，但为了简单起见，我们将查看特定于 Active Directory 的简单示例。

当用户通过 Active Directory 域控制器进行身份验证时，客户端计算机上的包将通过包含用户输入的密码的“凭据提供程序”进行加密。然后，域控制器解密该包并将用户的密码与存储在 Active Directory 中的密码进行比较。

如果匹配，则域控制器已准备好证明正在登录的用户就是他们所说的用户。域控制器向客户端计算机发送回两件事：票证和会话密钥。票证是证明域控制器已保证用户身份的一种方式，会话密钥可确保客户端和服务器之间的通信安全。会话密钥使用密码加密（记住这一点！）。

输入票证授予票证

域控制器为客户端生成的第一个票证称为票证授予票证 (TGT)。正如您可能从名称中猜到的那样，TGT 用于获取其他服务的票证。

在初始交换之后，就可以使用 Kerberos 来获取对某些内容的访问权限。这种“东西”被称为服务。重要的是不要对这里的“服务”术语感到困惑 - 在这种情况下，“服务”是一个抽象概念，与“Windows 服务”不同。虽然，Windows 服务通常运行提供服务的可执行文件。

服务的示例可能是基于 LDAP 的目录（例如 Active Directory）、使用 Windows 集成身份验证的网站或由网络连接存储设备提供服务的文件共享。这些服务都有名称，非常富有想象力地称为“服务主体名称”（有时用其缩写 SPN 来表示）。 Quest 的 GPOAdmin 服务的 SPN 示例是 GPOADmin/GPOADminService/example.local。

当用户想要访问该服务时，票证授予票证将被发送到票证授予服务器（对于 Active Directory 来说，它是域控制器），以便接收将授予对服务的访问权限的会话票证。

如果这一切让您有点眼花缭乱，请记住以下关键事项：每个组件都由特定的帐户密码加密。 TGT 使用 krbtgt 帐户密码进行加密。用户和票证授予服务器之间的消息使用用户密码进行加密。而且，最重要的是，为了 Kerberoasting 的目的，服务票证使用服务主体的密码进行加密。

那么，哪些 Active Directory 帐户可以与服务主体关联？通过服务主体名称的计算机帐户、托管服务帐户和常规用户帐户。

输入 Kerberoasting：这些攻击是如何工作的

在 Kerberoasting 中，攻击者控制的用户帐户使用服务主体名称请求服务票证。该服务票证使用关联的 Active Directory 帐户的密码进行加密。然后，服务票证会从内存中转储出来并脱机（一些软件，如Mimikatz，无需系统权限运行即可执行此操作）。软件（例如hashcat）用于尝试数百万个不同的密码，然后软件知道何时存在密码匹配，因为服务票证能够被解密和读取。然后，攻击者知道与服务主体关联的帐户的密码。

Kerberoasting 需要满足以下几点才能成功：

• 服务主体帐户使用的密码应少于 25 个字符。这排除了计算机帐户和托管服务帐户，因为它们各自都有很长的密码并且经常轮换。在 Active Directory 中轮换密码之前，根本不可能进行那么多猜测。这仅留下用户帐户。
• 攻击者需要能够使用 RC4_HMAC_MD5 加密类型请求服务票证。与基于 AES 的更强加密类型相比，这种加密类型利用帐户密码的方式并不安全。

为什么攻击者喜欢 kerberoasting

但即使有这些限制，攻击者仍然喜欢 Kerberoasting，原因如下：

• 执行攻击不需要任何特定的现有权限 - 任何经过身份验证的用户都可以执行 Kerberoasting 攻击。邮件室实习生的账户和首席技术官的账户一样危险！
• 任何经过身份验证的用户都可以找出可能容易受到 Kerberoasting 攻击的帐户。任何用户都可以查看具有与其关联的服务主体名称的用户帐户，任何用户都可以查看帐户的密码期限。
• 大多数 Active Directory 环境已经存在很长时间，并且大多数组织都不愿意以可能影响组织的方式修改 Active Directory。运行功能强大的服务的用户的密码很长一段时间没有更改是很常见的。
• 即使对于禁用了 RC4 的 Active Directory 环境，攻击者仍然可以使用 RC4_HMAC_MD5 请求服务票证！
• Kerberoasting 在环境中留下很少的痕迹 - 攻击者不必实际尝试访问服务，它只需要从票证授予服务器（记住域控制器）请求服务票证，而票证授予服务器不会跟进实际服务看看是否用过！
• 针对服务票据的暴力攻击可以利用消费级 GPU 硬件，其性能逐年大幅提升，这意味着可以在更短的时间内破解更复杂的密码。具有完整字符复杂性的完全随机的七字符密码可以在几分钟内破解 - 并且七字符密码是 Active Directory 环境中的默认密码。
• 更长、真正随机的密码需要指数级更长的时间来破解 - 例如，完全复杂的 10 个字符的真正随机密码需要数年时间。然而，攻击者可以利用这样一个事实：许多我们认为是随机的密码实际上并不是那么随机。他们可以使用“掩码”和“彩虹表”来滥用人类实际上创建密码的方式，从而大大减少该时间。

挫败 Kerberoast：防止 Kerberoast 攻击的步骤

那么，考虑到这一切，作为 Active Directory 防御者，您可以采取哪些措施来防止攻击者利用 Kerberoasting 获取强大服务帐户的密码？

以下是三个最佳实践：

1. 以攻击者的方式查看您的 Active Directory 环境。通过查找具有服务主体名称、旧密码和大量权限的用户之间的交集来查找容易受到 Kerberoasting 影响的帐户。

• 您可以使用 PowerShell 查询、报告或漏洞分析系统，甚至是 Bloodhound Enterprise 等强大的攻击路径管理软件来找到这些特别容易受到攻击的帐户。

1. 当您发现这些易受攻击的帐户时，您可以选择几种不同的方法。如果可以，请将服务转换为使用计算机帐户或托管服务帐户。如果服务不支持这两个选项中的任何一个，请考虑利用特权信息管理器 (PIM)。这些类型的系统使用长的、真正随机的密码自动定期循环服务密码。如果您无法做到这一点，请使用长、复杂、真正随机的密码定期手动轮换这些密码 - 从最旧的密码和最高权限的密码开始。
2. 最后，查找使用 RC4-HMAC 加密类型生成的服务票据并发出警报。这可能意味着您正在被 kerberoasted！域控制器将在事件 4796 中的“票证加密类型”字段下包含此信息。 RC4 的十六进制代码为 0x17。您可以通过在域控制器的高级审核配置中启用审核 Kerberos 服务票证操作来启用这些事件，但请注意，这将生成大量审核事件。计划使用 SIEM 或其他事件日志分析系统仅返回 RC4 服务票证的事件。

• 或者，考虑利用变更审核软件，该软件结合了审核 RC4 加密类型、白名单帐户和实时警报的功能，而无需审核每个服务票证和操作。

结论

我希望您在看完这篇博文后对 Kerberoasting 有了比刚开始阅读时更清晰的了解。而且，我希望它为您提供了从攻击者的手段中删除这些简单技术所需的工具。