Como defender o Active Directory dos ataques Kerberoasting e Golden Ticket
- Atualizado em
- Por Naty Santos
- Malwares
O que é o Kerberos
O Kerberos é um protocolo de autenticação do Windows, utilizado no Active Directory, que permite que cliente e servidor verifiquem sua identidade mutuamente, autorizando que o usuário opere com segurança, criptografando a transferência de dados, sem limitar as habilidades do usuário.
O que você vai ver neste post
Como funciona o Kerberos
- Os clientes recebem tickets do KDC (centro de distribuição de chaves), que geralmente é o controlador de domínio;
- Os tickets recebidos são usados durante o estabelecimento de conexão com os servidores;
- Os tickets usados pelo protocolo Kerberos armazenam a conta de rede do cliente.
O que é o Kerberoasting
O Kerberoasting é um método eficaz para recuperar contas de serviço do Active Directory em nome de um usuário comum e sem enviar pacotes ao sistema de destino. Ele não tem como objetivo buscar por vulnerabilidades; contudo, o protocolo Kerberos atrai invasores e dificulta a proteção do sistema, pois é difícil detectar algo suspeito entre os eventos comuns.
Como é a implementação do ataque de Kerberoasting
- Para realizar um ataque de Kerberoasting, é necessário um acesso de usuário normal, não um propriamente privilegiado.
- Então, é solicitado ao controlador de domínio os SPNs disponíveis (nomes principais de serviço).
- Depois de receber a lista SPN, juntamente com a conta de serviço, é requisitado um ticket ao controlador de domínio.
- Em seguida, o ticket é descarregado da memória para o disco e a força bruta é executada para obter a senha da conta de serviço.
Como se proteger do ataque de Kerberoasting
A melhor medida de proteção contra ataques do Kerberoasting é usar senhas complexas para contas de serviço associadas ao Kerberos e SPN, principalmente em contas privilegiadas.
O ataque Golden Ticket
Descoberto pelo pesquisador de segurança Benjamin Deply, o ataque Golden Ticket, dá ao invasor acesso total e completo ao seu domínio; funcionando como um “bilhete dourado” para o invasor acessar todos os computadores, arquivos, pastas e controladores de domínio.
Curiosidades sobre o Golden Ticket
Geralmente, as contas são admitidas no Active Directory, por um nome de usuário e senha, e recuperadas por um tíquete Kerberos, que contém seu token de autenticação.
O Golden Ticket é o token de autenticação da conta KRBTGT, uma conta especial secreta, que criptografa todos os tokens de autenticação do DC. Usando a técnica de passar o hash para fazer login em qualquer conta, ele permite que os invasores se movimentem pela rede sem serem notados. Há casos em que o invasor pode ter um Golden Ticket por vários anos instalados na máquina, sem o usuário perceber.
Como funciona o Golden Ticket
- O invasor infecta o computador da vítima com um malware que permite que os invasores utilizem contas de usuário para acessar outros recursos de rede.
- Ele obtém acesso a uma conta com privilégios elevados para acessar aos controladores de domínio (DC).
- Faz o login no DC e grava o hash de senha para a conta KRBTGT para criar o Golden Ticket. Então, ele utiliza o mimikatz, ou um aplicativo hacking similar, para despejar o hash de senha.
- Carrega o token Kerberos em qualquer sessão, para qualquer usuário e para acessar o que quiser na rede, usando o mimikatz.
Como se proteger do ataque de Golden Ticket
- Aplicar o princípio do menor privilégio, para que os usuários tenham acesso à apenas os recursos que são essenciais para o seu trabalho;
- Limitar o acesso do administrador, impedindo que o invasor tenha acesso as contas privilegiadas;
- Ter proteção de endpoints, que impeça que os atacantes carreguem módulos como Mimikatz;
- Monitorar o comportamento o acesso dos usuários;
- Investir em educação cibernética do usuário, para que este seja capaz de reconhecer investidas maliciosas, como sites falsos e links fraudulentos.
Sobre a VaultOne
Uma implementação de um servidores Kerberos adiciona um nível a mais na segurança da informação. Todavia, como em outras estruturas de TI, ele é vulnerável contra senhas fracas.
De acordo com a Gartner, 81% dos incidentes de segurança estão relacionados a credenciais fracas. Gerenciar as credenciais é essencial em Segurança da Informação.
A VaultOne proporciona o controle seguro de acessos privilegiados e auditoria detalhada dos acessos, além de oferecer um cofre digital par o armazenamento seguro de senhas.
Fale com um especialista e descubra como podemos proteger seu negócio.
