Kerberose piletid kontrollivad kasutajate ja serverite identiteeti. Kuid häkkerid kasutavad seda süsteemi ka teie kohta tundliku teabe leidmiseks.
Kerberose piletid muudavad Interneti turvalisemaks, pakkudes võrgus olevatele arvutitele ja serveritele vahendi andmete edastamiseks, ilma et oleks vaja igal sammul oma identiteeti kontrollida. Kuid see ühekordse, ehkki ajutise autentija roll muudab Kerberose piletid atraktiivseks ründajatele, kes saavad nende krüptimist lahti murda.
Mis on Kerberose piletid?
Kui arvate, et "Kerberos" kõlab tuttavalt, on teil õigus. See on Hadese koera (muidu tuntud kui Cerberus) kreekakeelne nimi. Kuid Kerberos pole sülekoer; sellel on mitu pead ja see valvab allilma väravaid. Kerberos takistab surnutel lahkumast ja peatab häiritud tegelastel oma armastatud süngest hauatagusest elust välja tooma. Sel moel võite pidada koera autentijaks, mis hoiab ära volitamata juurdepääsu.
Kerberos on võrgu autentimisprotokoll, mis kasutab krüptovõtmeid klientide (personaalarvutite) ja arvutivõrkude serverite vahelise suhtluse kontrollimiseks. Kerberose lõi Massachusettsi Tehnoloogiainstituut (MIT) selleks, et kliendid saaksid andmepäringuid tehes serveritele oma identiteeti tõestada. Samuti kasutavad serverid Kerberose pileteid, et tõestada, et saadetud andmed on autentsed, pärinevad ettenähtud allikast ega ole rikutud.
Kerberose piletid on põhimõtteliselt sertifikaadid, mille on klientidele väljastanud usaldusväärne kolmas osapool (nn võtmejaotuskeskus – lühidalt KDC). Kliendid esitavad selle sertifikaadi koos kordumatu seansivõtmega serverile, kui see algatab andmepäringu. Pileti esitamine ja autentimine loob usalduse kliendi ja serveri vahel, seega pole vaja kontrollida iga üksikut päringut või käsku.
Kuidas Kerberose piletid töötavad?
Kerberose piletid autentivad kasutaja juurdepääsu teenustele. Samuti aitavad need serveritel juurdepääsu osadeks jagada juhtudel, kui samale teenusele pääseb juurde mitu kasutajat. Nii ei leki päringud üksteisesse ja volitamata isikud ei pääse juurde privilegeeritud kasutajate andmetele.
Näiteks, Microsoft kasutab Kerberost autentimisprotokoll, kui kasutajad pääsevad juurde Windowsi serveritele või arvuti operatsioonisüsteemidele. Seega, kui logite pärast käivitamist arvutisse sisse, kasutab OS teie sõrmejälje või parooli autentimiseks Kerberose pileteid.
Teie arvuti salvestab ajutiselt selle seansi pileti kohaliku turbeasutuse alamsüsteemi teenuse (LSASS) protsessimällu. Edaspidi kasutab OS vahemällu salvestatud piletit ühekordse sisselogimisega autentimised, nii et te ei pea esitama oma biomeetriat ega parooli iga kord, kui peate tegema midagi, mis nõuab administraatoriõigusi.
Laiemas plaanis kasutatakse Kerberose pileteid võrgusuhtluse kaitsmiseks Internetis. See hõlmab selliseid asju nagu HTTPS-i krüptimine ja kasutajanime ja parooli kinnitamine sisselogimisel. Ilma Kerberoseta oleks võrguside selliste rünnakute suhtes haavatav saidiülene päringu võltsimine (CSRF) ja man-in-the-middle häkid.
Mis on Kerberoasting täpselt?
Kerberoasting on ründemeetod, mille käigus küberkurjategijad varastavad serveritest Kerberose pileteid ja püüavad eraldada lihtteksti parooliräsi. Selle rünnaku keskmes on sotsiaalne manipuleerimine, volikirjade varastamine, ja jõhkra jõuga rünnak, kõik üheks. Esimene ja teine samm hõlmavad ründajat, kes kehastab end kliendina ja taotleb serverilt Kerberose pileteid.
Loomulikult on pilet krüpteeritud. Sellegipoolest lahendab pileti hankimine häkkeri jaoks ühe kahest väljakutsest. Kui nad saavad serverist Kerberose pileti, on järgmiseks väljakutseks selle dekrüpteerimine mis tahes vajalikul viisil. Häkkerid, kelle valduses on Kerberose pileteid, näevad selle faili mõrkamiseks väga palju vaeva, kuna see on väärtuslik.
Kuidas Kerberoasting rünnakud töötavad?
Kerberoasting kasutab aktiivsetes kataloogides ära kahte levinumat turbeviga – lühikeste nõrkade paroolide kasutamist ja nõrga krüptimisega failide kaitsmist. Rünnak algab sellega, et häkker kasutab kasutajakontot, et taotleda KDC-lt Kerberose piletit.
Seejärel väljastab KDC ootuspäraselt krüpteeritud pileti. Selle asemel, et kasutada seda piletit serveriga autentimiseks, võtab häkker selle võrguühenduseta ja üritab piletit jõhkra jõu tehnikatega murda. Selleks kasutatavad tööriistad on tasuta ja avatud lähtekoodiga, nagu mimikatz, Hashcat ja JohnTheRipper. Rünnakut saab automatiseerida ka selliste tööriistadega nagu invoke-kerberoast ja Rubeus.
Edukas kerberoasting-rünnak ekstraheerib piletist lihtteksti paroolid. Seejärel saab ründaja seda kasutada ohustatud kasutajakontolt serverisse saadetavate päringute autentimiseks. Veelgi hullem on see, et ründaja võib äsja leitud volitamata juurdepääsu andmete varastada, liikuda aktiivses kataloogis külgsuunasja seadistage administraatoriõigustega näilikud kontod.
Kas peaksite Kerberoastingu pärast muretsema?
Kerberoasting on populaarne rünnak aktiivsete kataloogide vastu ja peaksite selle pärast muretsema, kui olete domeeni administraator või sinise meeskonna operaator. Selle rünnaku tuvastamiseks pole domeeni vaikekonfiguratsiooni. Enamik sellest toimub võrguühenduseta. Kui olete selle ohvriks langenud, saate suure tõenäosusega tagantjärele teada.
Saate vähendada kokkupuudet, tagades, et kõik teie võrgu kasutajad kasutavad pikki paroole, mis koosnevad juhuslikest tähtnumbrilistest tähemärkidest ja sümbolitest. Lisaks peaksite kasutama täiustatud krüptimist ja seadistama hoiatusi domeenikasutajate ebatavaliste päringute puhul. Samuti peate kaitsma sotsiaalse manipuleerimise eest, et vältida turvarikkumisi, mis algavad Kerberoatinguga.
