Kerberos ulaznice provjeravaju identitete korisnika i poslužitelja. Ali hakeri također iskorištavaju ovaj sustav kako bi saznali osjetljive informacije o vama.
Kerberos ulaznice čine internet sigurnijim pružanjem načina za prijenos podataka računalima i poslužiteljima na mreži bez potrebe za provjerom identiteta na svakom koraku. Međutim, ova uloga jednokratnog, iako privremenog, autentifikatora čini Kerberos karte privlačnim za napadače koji mogu probiti njihovu enkripciju.
Što su Kerberos ulaznice?
Ako mislite da vam "Kerberos" zvuči poznato, u pravu ste. To je grčko ime Hadovog psa (inače poznatog kao "Cerberus"). Ali Kerberos nije kućni pas; ima nekoliko glava i čuva vrata podzemlja. Kerberos sprječava mrtve da odu i sprječava izbezumljene likove da izvuku svoje voljene iz tmurnog zagrobnog života. Na taj način psa možete zamisliti kao autentifikator koji sprječava neovlašteni pristup.
Kerberos je mrežni protokol za provjeru autentičnosti koji koristi kriptografske ključeve za provjeru komunikacije između klijenata (osobnih računala) i poslužitelja na računalnim mrežama. Kerberos je kreirao Massachusetts Institute of Technology (MIT) kao način na koji klijenti mogu dokazati svoj identitet poslužiteljima kada postavljaju zahtjeve za podacima. Isto tako, poslužitelji koriste Kerberos ulaznice kako bi dokazali da su poslani podaci autentični, iz željenog izvora i da nisu oštećeni.
Kerberos ulaznice su u osnovi certifikati koje klijentima izdaje treća strana od povjerenja (zvana centar za distribuciju ključeva - skraćeno KDC). Klijenti predstavljaju ovaj certifikat, zajedno s jedinstvenim ključem sesije, poslužitelju kada on pokrene zahtjev za podacima. Predstavljanje i provjera autentičnosti ulaznice uspostavlja povjerenje između klijenta i poslužitelja, tako da nema potrebe za provjerom svakog pojedinačnog zahtjeva ili naredbe.
Kako funkcioniraju Kerberos ulaznice?
Kerberos ulaznice autentificiraju korisnički pristup uslugama. Oni također pomažu poslužiteljima podijeliti pristup u slučajevima kada postoji nekoliko korisnika koji pristupaju istoj usluzi. Na taj način zahtjevi ne cure jedni u druge, a neovlaštene osobe ne mogu pristupiti podacima koji su ograničeni na privilegirane korisnike.
Na primjer, Microsoft koristi Kerberos protokol provjere autentičnosti kada korisnici pristupaju Windows poslužiteljima ili operativnim sustavima računala. Dakle, kada se prijavite na svoje računalo nakon pokretanja, OS koristi Kerberos ulaznice za provjeru autentičnosti vašeg otiska prsta ili lozinke.
Vaše računalo privremeno pohranjuje ulaznicu u memoriju procesa Local Security Authority Subsystem Service (LSASS) za tu sesiju. Od tog trenutka OS koristi predmemoriranu kartu za provjera autentičnosti s jednom prijavom, tako da ne morate davati svoje biometrijske podatke ili lozinku svaki put kada trebate učiniti nešto što zahtijeva administrativne povlastice.
U većoj mjeri, Kerberos ulaznice koriste se za zaštitu mrežne komunikacije na internetu. To uključuje stvari kao što su HTTPS enkripcija i provjera korisničkog imena i lozinke pri prijavi. Bez Kerberosa, mrežna bi komunikacija bila ranjiva na napade poput krivotvorenje zahtjeva između stranica (CSRF) i man-in-the-middle hacks.
Što je točno Kerberoasting?
Kerberoasting je metoda napada u kojoj kibernetički kriminalci kradu Kerberos ulaznice sa poslužitelja i pokušavaju izvući raspršene šifre lozinki. U svojoj srži, ovaj napad je društveni inženjering, krađa vjerodajnica, i napad brutalnom silom, sve u jednom. Prvi i drugi korak uključuju napadača koji se predstavlja kao klijent i zahtijeva Kerberos ulaznice od poslužitelja.
Naravno, ulaznica je šifrirana. Ipak, dobivanje ulaznice rješava jedan od dva izazova za hakera. Nakon što dobiju Kerberos ulaznicu s poslužitelja, sljedeći izazov je dešifriranje na bilo koji potreban način. Hakeri koji posjeduju ulaznice za Kerberos ići će krajnje daleko da razbiju ovu datoteku zbog njezine vrijednosti.
Kako funkcioniraju Kerberoasting napadi?
Kerberoasting iskorištava dvije uobičajene sigurnosne pogreške u aktivnim direktorijima — korištenje kratkih, slabih lozinki i osiguranje datoteka slabom enkripcijom. Napad počinje tako što haker koristi korisnički račun kako bi zatražio Kerberos kartu od KDC-a.
KDC zatim izdaje šifriranu kartu kako se očekuje. Umjesto da koristi ovu ulaznicu za autentifikaciju s poslužiteljem, haker je isključuje iz mreže i pokušava probiti ulaznicu tehnikama grube sile. Alati koji se koriste za to su besplatni i otvorenog koda, kao što su mimikatz, Hashcat i JohnTheRipper. Napad se također može automatizirati pomoću alata kao što su invoke-kerberoast i Rubeus.
Uspješan kerberoasting napad izvući će otvorene lozinke iz karte. Napadač to zatim može upotrijebiti za provjeru autentičnosti zahtjeva poslužitelju s kompromitiranog korisničkog računa. Što je još gore, napadač može iskoristiti novootkriveni, neovlašteni pristup za krađu podataka, bočno pomaknuti u aktivnom imenikui postavite lažne račune s administratorskim ovlastima.
Trebate li biti zabrinuti zbog Kerberoastinga?
Kerberoasting je popularan napad na aktivne direktorije i trebali biste se zabrinuti zbog toga ako ste administrator domene ili operater plavog tima. Ne postoji zadana konfiguracija domene za otkrivanje ovog napada. Većina toga događa se izvan mreže. Ako ste bili žrtva ovoga, najvjerojatnije ćete znati naknadno.
Možete smanjiti svoju izloženost tako da osigurate da svi na vašoj mreži koriste dugačke lozinke koje se sastoje od nasumičnih alfanumeričkih znakova i simbola. Nadalje, trebali biste koristiti naprednu enkripciju i postaviti upozorenja za neobične zahtjeve korisnika domene. Također ćete se morati zaštititi od društvenog inženjeringa kako biste spriječili narušavanje sigurnosti koje uopće počinje Kerberoatingom.
