Перейти к основному содержимому
Версия: ITDR 2.0

Протокол Kerberos

В текущей версии Indeed ITDR обнаруживаются и предотвращаются следующие угрозы, которые могут возникнуть во время аутентификации по протоколу Kerberos.

Golden Ticket

"Golden Ticket" — это метод атаки, при котором злоумышленник подделывает тикет Kerberos Ticket Granting Ticket (TGT) для получения несанкционированного доступа к ресурсам в доменной среде. Эта атака использует уязвимости в протоколе аутентификации Kerberos, позволяя злоумышленнику выдавать себя за любого пользователя, включая и привилегированные учетные записи, и обеспечивать постоянный доступ к инфраструктуре.

Использование слабого алгоритма шифрования

Событие, в котором для шифрования сессионного ключа (Session Key) в AS-REP или сервисного тикета (Service Ticket) в TGS-REQ сервером Key Distribution Center (KDC) было выбрано и использовано значение EncryptionType, соответствующее криптографически слабым и устаревшим алгоритмам шифрования.

Эти алгоритмы, например такие как DES или RC4, больше не считаются безопасными из-за их подверженности атакам методом подбора и наличию криптографических уязвимостей. Использование таких слабых типов шифрования в коммуникациях Kerberos между клиентом и KDC значительно подрывает безопасность процесса аутентификации, потенциально позволяя злоумышленникам расшифровывать тикеты, подделывать учетные данные или получать несанкционированный доступ к конфиденциальным ресурсам.

Попытка использования слабых алгоритмов шифрования

Событие, в котором с клиентской машины был отправлен запрос на тикет (AS-REQ или TGS-REQ) к серверу KDC, при этом в запросе значение EncryptionType соответствует алгоритму шифрования, который не поддерживается на сервере KDC. В запросе от клиентской машины могут быть указаны один или несколько EncryptionType, сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.

Каждый из предложенных клиентской машиной EncryptionType был распознан как слабый или устаревший алгоритм шифрования, либо также мог содержать неизвестные алгоритмы шифрования, отсутствующие в публичных спецификациях. Эта ситуация аномальна и не должна возникать при штатных режимах работы. Запрос заведомо слабых и уязвимых алгоритмов шифрования может являться явным признаком активности злоумышленника по понижению уровня шифрования (Encryption downgrade activity). Такая активность зачастую является предварительным этапом подготовки таких атак как Golden Ticket, Skeleton Key и Pass-The-Hash. А использование неизвестных алгоритмов шифрования может служить элементом разведки и попыткой эксплуатации недекларированных уязвимостей ПО.

Использование неизвестного алгоритма шифрования

Событие, в котором для шифрования сессионного ключа (Session Key) в AS-REP или сервисного тикета (Service Ticket) сервером KDC было выбрано и использовано значение EncryptionType, соответствующее не определенным в общедоступных источниках алгоритмам шифрования.

Хотя KDC в данном случае поддерживает этот тип шифрования, его использование крайне необычно и может указывать на подозрительную активность. Кроме того, такие неизвестные методы шифрования могут быть уязвимы для взлома.

Попытка использования неизвестных алгоритмов шифрования

Событие, в котором с клиентской машины был отправлен запрос на тикет (AS-REQ или TGS-REQ) к серверу KDC, при этом в запросе значение EncryptionType соответствует алгоритму шифрования, который не поддерживается на сервере KDC. В запросе от клиентской машины могут быть указаны один или несколько EncryptionType, сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.

Хотя бы один из предложенных клиентской машиной EncryptionType был распознан как неизвестный алгоритм шифрования, отсутствующий в публичных спецификациях. Эта ситуация аномальна и не должна возникать при штатных режимах работы. Использование неизвестных алгоритмов шифрования может быть признаком неверных конфигураций, устаревших или проприетарных систем, а также служить элементом vendor-specific разведки и попыткой эксплуатации недекларированных уязвимостей ПО.

Попытка использования неподдерживаемого алгоритма шифрования

Событие, в котором с клиентской машины был отправлен запрос на тикет (AS-REQ или TGS-REQ) к серверу KDC, при этом в запросе значение EncryptionType соответствует алгоритму шифрования, который не поддерживается на сервере KDC. В запросе от клиентской машины могут быть указаны один или несколько EncryptionType, сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.

Результат этого запроса был неуспешным, и тикет не был выписан клиентской машине, так как сервер KDC вернул ошибку KDC_ERR_ETYPE_NOSUPP (14), указывающую на то, что запрошенные алгоритмы шифрования не поддерживаются (параметр Active Directory — msDS-supportedEncryptionTypes). Эта ситуация может быть признаком неверных конфигураций, устаревших систем или потенциальных попыток использования слабых или устаревших методов шифрования.

AS-REP Roasting

Запросы Kerberos AS-REQ, использующие слабое шифрование и исходящие от учетных записей с отключенной пре-аутентификацией, представляют собой угрозу, поскольку полученные тикеты могут быть взломаны офлайн-способом для раскрытия паролей этих учетных записей. Большое количество таких запросов свидетельствует о неправильно настроенной инфраструктуре или об атаке AS-REP Roasting.

Уязвимый AS-REP

AS-REP со слабым шифрованием и без предварительной проверки подлинности (DONT_REQUIRE_PREAUTH). Переданный таким образом тикет уязвим к оффлайн взлому.

Аномальное значение SName в AS-REQ

Обнаружено аномальное значение SName в теле запроса AS-REQ, которое не соответствует ни krbtgt/domain, ни kadmin/changepw. Это поведение может соответствовать запросу сервисного тикета через AS-REQ (Initial Ticket) для No-Preauth учетных записей либо являться частным сценарием техники Kerberoasting средствами AS-REQ.

Нарушение целостности сообщений

Событие, в котором были выявлены аномалии, связанные с нарушением целостности сообщений Kerberos. Включает в себя обнаружение ошибок, связанных с повреждением, подделкой или модификацией сообщений Kerberos, тикетов или их полей. Такие ошибки могут свидетельствовать о попытках злоумышленников сконструировать, подделать или изменить существующие сообщения Kerberos для обхода аутентификации.

Расхождение во времени в событиях аутентификации (временные аномалии)

Событие, в котором были выявлены аномалии, связанные с нарушением синхронизации времени в Kerberos-аутентификации. Включает в себя обнаружение ошибок, связанных с расхождением времени между клиентской машиной, сервером и контроллером домена (KDC), а также истечением срока действия тикетов. Такие ошибки могут свидетельствовать о попытках злоумышленников использовать устаревшие или недействительные тикеты, а также о проблемах с синхронизацией времени в инфраструктуре.

Всплеск ошибок о нарушении времени Kerberos

Запросы Kerberos, завершающиеся с кодами ошибок KRB_AP_ERR_SKEW(37), KRB_AP_ERR_TKT_NYV(33) и KDC_ERR_NEVER_VALID(11), указывают на нарушение временных параметров протокола. Значительное количество таких ошибок может свидетельствовать о проблемах синхронизации системного времени или о неудачных попытках атак повторного воспроизведения (replay attacks).

Нарушение последовательности сообщений

Событие, в котором были выявлены аномалии, связанные с нарушением последовательности Kerberos-сообщений. Некоторые ошибки сервера KDC означают, что ожидаемая последовательность отправки запросов Kerberos нарушается тем или иным способом. Это может быть признаком Replay-атак, DoS-атак или подделкой сообщений Kerberos.

Kerberoasting

Сервисные тикеты Kerberos, зашифрованные слабыми алгоритмами, уязвимы для офлайн-взлома, что может привести к компрометации паролей соответствующих сервисных учетных записей. Множественные успешные запросы по протоколу Kerberos на получение тикетов для различных служб, использующих слабое шифрование, являются признаком неправильно настроенной инфраструктуры или атаки Kerberoasting.

Попытка перебора имен пользователей по протоколу Kerberos

Большое количество Kerberos-запросов с различными именами пользователей, завершившихся ошибкой KDC_ERR_C_PRINCIPAL_UNKNOWN (6), является признаком разведки инфраструктуры путём перебора имен учетных записей.

Попытка поиска учетных данных пользователей Kerberos с отключенной пре-аутентификацией

Большое количество запросов AS-REQ, завершившихся с кодом ошибки KDC_ERR_PREAUTH_FAILED (24), свидетельствует о попытке обнаружения учетных записей с отключенной пре-аутентификацией путём перебора действительных имён пользователей.

Попытка перебора имен сервисов по протоколу Kerberos

Большое количество Kerberos-запросов с различными именами сервисов, завершившихся ошибкой KDC_ERR_S_PRINCIPAL_UNKNOWN (7), является признаком разведки инфраструктуры путём перебора имен сервисов (SPN).

Дублирование запросов Kerberos

Большое количество одинаковых успешных запросов Kerberos за короткий промежуток времени может быть признаком атак повторного воспроизведения (replay attack).

Уязвимость службы печати Windows (Print Spooler)

Множество запросов TGS-REQ с кодом ошибки KDC_ERR_S_PRINCIPAL_UNKNOWN (7) и указанием имени службы krbtgt/NT Authority свидетельствует об наличии уязвимости службы диспетчера печати (Print Spooler), которая эксплуатируется в атаке PrintNightmare или аналогичной.