Kerberos bilietai patvirtina vartotojų ir serverių tapatybę. Tačiau įsilaužėliai taip pat naudojasi šia sistema norėdami sužinoti apie jus neskelbtiną informaciją.
„Kerberos“ bilietai daro internetą saugesnį, nes tinkle esantys kompiuteriai ir serveriai gali perduoti duomenis ir nereikia tikrinti savo tapatybės kiekviename žingsnyje. Tačiau šis vienkartinio, nors ir laikino, autentifikatoriaus vaidmuo daro Kerberos bilietus patrauklius užpuolikams, kurie gali nulaužti jų šifravimą.
Kas yra Kerberos bilietai?
Jei manote, kad „Kerberos“ skamba pažįstamai, esate teisus. Tai graikiškas Hado šuns (kitaip vadinamas Cerberiu) pavadinimas. Bet Kerberos nėra lapdog; ji turi keletą galvų ir saugo požemio vartus. Kerberosas neleidžia mirusiesiems pasitraukti ir sutrikusiems veikėjams neleidžia ištrūkti savo mylimųjų iš niūraus pomirtinio gyvenimo. Tokiu būdu galite galvoti apie šunį kaip autentifikatorių, kuris apsaugo nuo neteisėtos prieigos.
Kerberos yra tinklo autentifikavimo protokolas, kuris naudoja kriptografinius raktus ryšiui tarp klientų (asmeninių kompiuterių) ir serverių kompiuterių tinkluose patikrinti. „Kerberos“ sukūrė Masačusetso technologijos institutas (MIT), kad klientai galėtų įrodyti savo tapatybę serveriams, kai jie pateikia duomenų užklausas. Taip pat serveriai naudoja Kerberos bilietus, kad įrodytų, jog išsiųsti duomenys yra autentiški, iš numatyto šaltinio ir nebuvo sugadinti.
„Kerberos“ bilietai iš esmės yra sertifikatai, kuriuos klientams išduoda patikima trečioji šalis (vadinama raktų platinimo centru – sutrumpintai KDC). Klientai pateikia šį sertifikatą kartu su unikaliu seanso raktu serveriui, kai jis inicijuoja duomenų užklausą. Bilieto pateikimas ir autentifikavimas sukuria pasitikėjimą tarp kliento ir serverio, todėl nereikia tikrinti kiekvienos užklausos ar komandos.
Kaip veikia „Kerberos“ bilietai?
Kerberos bilietai patvirtina vartotojo prieigą prie paslaugų. Jie taip pat padeda serveriams suskirstyti prieigą tais atvejais, kai keli vartotojai naudojasi ta pačia paslauga. Tokiu būdu užklausos nepatenka viena į kitą, o neįgalioti asmenys negali pasiekti duomenų, skirtų tik privilegijuotiems vartotojams.
Pavyzdžiui, „Microsoft“ naudoja „Kerberos“. autentifikavimo protokolą, kai vartotojai prisijungia prie „Windows“ serverių arba kompiuterių operacinių sistemų. Taigi, kai prisijungiate prie kompiuterio po įkrovos, OS naudoja Kerberos bilietus, kad patvirtintų jūsų piršto atspaudą arba slaptažodį.
Jūsų kompiuteris laikinai išsaugo bilietą Vietinės saugos institucijos posistemio tarnybos (LSASS) proceso atmintyje, skirtoje tos sesijos metu. Nuo tada OS naudoja talpykloje saugomą bilietą vieno prisijungimo autentifikavimas, todėl jums nereikės pateikti biometrinių duomenų ar slaptažodžio kiekvieną kartą, kai reikia atlikti tai, kam reikalingos administratoriaus teisės.
Didesniu mastu Kerberos bilietai naudojami tinklo ryšiui internete apsaugoti. Tai apima tokius dalykus kaip HTTPS šifravimas ir vartotojo vardo ir slaptažodžio patvirtinimas prisijungus. Be Kerberos tinklo komunikacijos būtų pažeidžiamos tokioms atakoms kaip kelių svetainių užklausų klastojimas (CSRF) ir žmogus-in-the-middle hacks.
Kas tiksliai yra Kerberoasting?
Kerberoasting yra atakos metodas, kai kibernetiniai nusikaltėliai vagia Kerberos bilietus iš serverių ir bando išgauti paprasto teksto slaptažodžių maišą. Šios atakos esmė yra socialinė inžinerija, kredencialų vagystė, ir žiaurios jėgos ataka, viskas sujungta į vieną. Pirmajame ir antrajame žingsnyje užpuolikas apsimeta klientu ir serverio prašo Kerberos bilietų.
Žinoma, bilietas yra užšifruotas. Nepaisant to, bilieto gavimas išsprendžia vieną iš dviejų įsilaužėlių iššūkių. Kai jie gauna Kerberos bilietą iš serverio, kitas iššūkis yra jį iššifruoti bet kokiomis būtinomis priemonėmis. Įsilaužėliai, turintys Kerberos bilietus, labai stengsis nulaužti šį failą, nes jis vertingas.
Kaip veikia Kerberoasting atakos?
„Kerberoasting“ išnaudoja dvi įprastas saugos klaidas aktyviuose kataloguose – naudoja trumpus, silpnus slaptažodžius ir apsaugo failus su silpnu šifravimu. Ataka prasideda įsilaužėliui naudojant vartotojo abonementą, kad iš KDC paprašytų Kerberos bilieto.
Tada KDC išduoda užšifruotą bilietą, kaip tikėtasi. Užuot naudojęs šį bilietą autentifikavimui su serveriu, įsilaužėlis jį atjungia ir bando nulaužti bilietą naudodamas brutalios jėgos metodus. Tam naudojami nemokami ir atvirojo kodo įrankiai, pvz., „Mimikatz“, „Hashcat“ ir „JohnTheRipper“. Ataka taip pat gali būti automatizuota naudojant tokius įrankius kaip invoke-kerberoast ir Rubeus.
Sėkminga kerberoasting ataka iš bilieto ištrauks paprasto teksto slaptažodžius. Tada užpuolikas gali tai naudoti norėdamas autentifikuoti užklausas serveriui iš pažeistos vartotojo paskyros. Dar blogiau, kad užpuolikas gali pasinaudoti naujai rasta neteisėta prieiga, kad pavogtų duomenis, perkelti į šoną aktyviame kataloge, ir nustatyti netikras paskyras su administratoriaus teisėmis.
Ar turėtumėte nerimauti dėl Kerberoasting?
Kerberoasting yra populiari ataka prieš aktyvius katalogus, todėl turėtumėte susirūpinti, jei esate domeno administratorius arba mėlynosios komandos operatorius. Nėra numatytos domeno konfigūracijos šiai atakai aptikti. Dažniausiai tai vyksta neprisijungus. Jei tapote to auka, greičiausiai sužinosite vėliau.
Galite sumažinti ekspoziciją užtikrindami, kad visi jūsų tinkle naudotų ilgus slaptažodžius, sudarytus iš atsitiktinių raidinių ir skaitmeninių simbolių ir simbolių. Be to, turėtumėte naudoti išplėstinį šifravimą ir nustatyti įspėjimus apie neįprastas domeno naudotojų užklausas. Taip pat turėsite apsisaugoti nuo socialinės inžinerijos, kad išvengtumėte saugumo pažeidimų, kurie pirmiausia prasideda nuo Kerberoating.