Протокол Kerberos

В текущей версии Indeed ITDR обнаруживаются и предотвращаются следующие угрозы, которые могут возникнуть во время аутентфикации по протоколу Kerberos.

Golden Ticket

Событие TGS-REQ, в котором содержится отпечаток тикета Ticket Granting Ticket (TGT), который ранее не выдавался в AS-REP.

Если TGT неизвестен, это указывает на вероятность того, что он был сконструирован без участия Key Distribution Center (KDC) и может быть признаком реализации техники Golden Ticket.

Использование слабого алгоритма шифрования

Событие, в котором для шифрования сессионного ключа (Session Key) в AS-REP или сервисного тикета (Service Ticket) в TGS-REQ сервером Key Distribution Center (KDC) было выбрано и использовано значение EncryptionType, соответствующее криптографически слабым и устаревшим алгоритмам шифрования.

Эти алгоритмы, например такие как DES или RC4, больше не считаются безопасными из-за их подверженности атакам методом подбора, криптографическим уязвимостям и эксплуатации. Использование таких слабых типов шифрования в коммуникациях Kerberos между клиентом и KDC значительно подрывает безопасность процесса аутентификации, потенциально позволяя злоумышленникам расшифровывать тикеты, подделывать учетные данные или получать несанкционированный доступ к конфиденциальным ресурсам.

Попытка использования слабых алгоритма шифрования

Событие, в котором с клиентской машины был отправлен запрос на тикет (AS-REQ или TGS-REQ) к серверу KDC, при этом в запросе значение EncryptionType соответствует алгоритму шифрования, который не поддерживается на сервере KDC. В запросе от клиентской машины могут быть указаны один или несколько EncryptionType, сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.

Каждый из предложенных клиентской машиной EncryptionType был распознан как слабый или устаревший алгоритм шифрования, либо также мог содержать неизвестные алгоритмы шифрования, отсутствующие в публичных спецификациях. Эта ситуация аномальна и не должна возникать при штатных режимах работы. Запрос заведомо слабых и уязвимых алгоритмов шифрования может являться явным признаком активности злоумышленника по понижению уровня шифрования (Encryption downgrade activity). Такая активность зачастую является предварительным этапом подготовки таких атак как Golden Ticket, Skeleton Key и Pass-The-Hash. А использование неизвестных алгоритмов шифрования может служить элементом vendor-specific разведки и попыткой эксплуатации недекларированных уязвимостей ПО.

Использование неизвестного алгоритма шифрования

Событие, в котором для шифрования сессионного ключа (Session Key) в AS-REP или сервисного тикета (Service Ticket) сервером KDC было выбрано и использовано значение EncryptionType, соответствующее не определенным в общедоступных источниках алгоритмам шифрования.

Хотя KDC в данном случае поддерживает этот тип шифрования, его использование крайне необычно и может указывать на подозрительную активность. Кроме того, такие неизвестные методы шифрования могут быть уязвимы для взлома.

Попытка использования неизвестных алгоритмов шифрования

Событие, в котором с клиентской машины был отправлен запрос на тикет (AS-REQ или TGS-REQ) к серверу KDC, при этом в запросе значение EncryptionType соответствует алгоритму шифрования, который не поддерживается на сервере KDC. В запросе от клиентской машины могут быть указаны один или несколько EncryptionType, сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.

Хотя бы один из предложенных клиентской машиной EncryptionType был распознан как неизвестный алгоритм шифрования, отсутствующий в публичных спецификациях. Эта ситуация аномальна и не должна возникать при штатных режимах работы. Использование неизвестных алгоритмов шифрования может быть признаком неверных конфигураций, устаревших или проприетаных систем, а также служить элементом vendor-specific разведки и попыткой эксплуатации недекларированных уязвимостей ПО.

Попытка использования неподдерживаемого алгоритма шифрования

Событие, в котором с клиентской машины был отправлен запрос на тикет (AS-REQ или TGS-REQ) к серверу KDC, при этом в запросе значение EncryptionType соответствует алгоритму шифрования, который не поддерживается на сервере KDC. В запросе от клиентской машины могут быть указаны один или несколько EncryptionType, сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.

Результат этого запроса был неуспешным, и тикет не был выписан клиентской машине, так как сервер KDC вернул ошибку KDC_ERR_ETYPE_NOSUPP (14), указывающую на то, что запрошенные алгоритмы шифрования не поддерживаются (параметр Active Directory — msDS-supportedEncryptionTypes). Эта ситуация может быть признаком неверных конфигураций, устаревших систем или потенциальных попыток использования слабых или устаревших методов шифрования.

AS-REP Roast

Обнаружена цепочка событий, в которой запрос аутентификации (AS-REQ) не содержит аутентификатор (шифрованную метку времени), а ответ сервера KDC содержит подтвержденный тикет TGT. Это значит, что для пользователя, отправившего этот запрос, установлена опция DONT_REQUIRE_PREAUTH. Наличие подобных пользователей, кроме подтвержденных администратором, может быть признаком атаки.

Аномальное значение SName в AS-REQ

Обнаружено аномальное значение SName в теле запроса AS-REQ, которое не соответствует ни krbtgt/domain, ни kadmin/changepw. Это поведение может соответствовать запросу сервисного тикета через AS-REQ (Initial Ticket) для No-Preauth учетных записей либо являться частным сценарием техники Kerberoasting средствами AS-REQ.

Нарушение целостности сообщений

Событие, в котором были выявлены аномалии, связанные с нарушением целостности сообщений Kerberos. Включает в себя обнаружение ошибок, связанных с повреждением, подделкой или модификацией сообщений Kerberos, тикетов или их полей. Такие ошибки могут свидетельствовать о попытках злоумышленников сконструировать, подделать или изменить существующие сообщения Kerberos для обхода аутентификации.

Расхождение во времени в событиях аутентификации (временные аномалии)

Событие, в котором были выявлены аномалии, связанные с нарушением синхронизации времени в Kerberos-аутентификации. Включает в себя обнаружение ошибок, связанных с расхождением времени между клиентской машиной, сервером и контроллером домена (KDC), а также истечением срока действия тикетов. Такие ошибки могут свидетельствовать о попытках злоумышленников использовать устаревшие или недействительные тикеты, а также о проблемах с синхронизацией времени в инфраструктуре.

Нарушение последовательности сообщений

Событие, в котором были выявлены аномалии, связанные с нарушением последовательности Kerberos-сообщений. Некоторые ошибки сервера KDC означают, что ожидаемая последовательность отправки запросов Kerberos нарушается тем или иным способом. Это может быть признаком Replay-атак, DoS-атак или подделкой сообщений Kerberos.