Протокол Kerberos
В текущей версии Indeed ITDR обнаруживаются и предотвращаются следующие угрозы, которые могут возникнуть во время аутентификации по протоколу Kerberos.
Golden Ticket
"Golden Ticket" — это метод атаки, при котором злоумышленник подделывает тикет Kerberos Ticket Granting Ticket (TGT) для получения несанкционированного доступа к ресурсам в доменной среде. Эта атака использует уязвимости в протоколе аутентификации Kerberos, позволяя злоумышленнику выдавать себя за любого пользователя, включая и привилегированные учетные записи, и обеспечивать постоянный доступ к инфраструктуре.
Использовался слабый тип шифрования Kerberos
Событие, в котором для шифрования сессионного ключа (Session Key) в AS-REP или сервисного тикета (Service Ticket) в TGS-REQ сервером Key Distribution Center (KDC) было выбрано и использовано значение EncryptionType, соответствующее криптографически слабым и устаревшим алгоритмам шифрования.
Эти алгоритмы, например такие как DES или RC4, больше не считаются безопасными из-за их подверженности атакам методом подбора и наличию криптографических уязвимостей. Использование таких слабых типов шифрования в коммуникациях Kerberos между клиентом и KDC значительно подрывает безопасность процесса аутентификации, потенциально позволяя злоумышленникам расшифровывать тикеты, подделывать учетные данные или получать несанкционированный доступ к конфиденциальным ресурсам.
Попытка использования слабых типов шифрования Kerberos
Клиент отправил запрос на тикет (AS-REQ или TGS-REQ) серверу Key Distribution Center (KDC), указав значение EncryptionType, соответствующее алгоритму шифрования, который тот не поддерживает. Клиент может указать один или несколько EncryptionType, а сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.
Результат этого запроса был неуспешным и тикет не был выписан клиенту, так как KDC вернул ошибку KDC_ERR_ETYPE_NOSUPP (14), указывающую на то, что запрошенные алгоритмы шифрования не распознаны или не включены (msDS-supportedEncryptionTypes).
Однако в данном случае каждый из предложенных клиентом EncryptionType был распознан как слабый или устаревший алгоритм шифрования. Эта ситуация аномальна и не должна возникать при штатных режимах работы. Запрос заведомо слабых и уязвимых алгоритмов шифрования может являться явным признаком активности злоумышленника по понижению уровня шифрования (Encryption downgrade activity). Такая активность зачастую является предварительным этапом подготовки таких атак, как Golden Ticket, Skeleton Key и Pass-The-Hash.
Использовался неизвестный тип шифрования Kerberos
Для шифрования сессионного ключа (Session Key) в AS-REP или сервисного тикета (Service Ticket) сервером Key Distribution Center (KDC) было выбрано и использовано значение EncryptionType, соответствующее не определенным в общедоступных источниках алгоритмам шифрования.
Хотя Key Distribution Center (KDC) в данном случае поддерживает этот тип шифрования, его использование крайне необычно и может указывать на подозрительную активность. Кроме того, такие неизвестные методы шифрования могут быть уязвимы для взлома.
Попытка использования неизвестных типов шифрования Kerberos
Клиент отправил запрос на тикет (AS-REQ или TGS-REQ) серверу Key Distribution Center (KDC), указав значение EncryptionType, соответствующее алгоритму шифрования, который тот не поддерживает. Клиент может указать один или несколько EncryptionType, а сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.
Результат этого запроса был неуспешным и тикет не был выписан клиенту, так как KDC вернул ошибку KDC_ERR_ETYPE_NOSUPP (14), указывающую на то, что запрошенные алгоритмы шифрования не распознаны или не включены (msDS-supportedEncryptionTypes).
Однако в данном случае каждый из предложенных клиентом EncryptionType был распознан как неизвестный алгоритм шифрования, отсутствующий в публичных спецификациях. Эта ситуация аномальна и не должна возникать при штатных режимах работы. Использование неизвестных алгоритмов шифрования может быть признаком неверных конфигураций, устаревших или проприетарных систем, а также служить элементом vendor-specific разведки и попыток эксплуатации недекларированных уязвимостей ПО.
Попытка использования неподдерживаемого типа шифрования Kerberos
Клиент отправил запрос на тикет (AS-REQ или TGS-REQ) серверу Key Distribution Center (KDC), указав значение EncryptionType, соответствующее алгоритму шифрования, который тот не поддерживает. Клиент может указать один или несколько EncryptionType, а сервер в свою очередь выбирает наиболее защищенный из тех, которые он поддерживает.
Результат этого запроса был неуспешным и тикет не был выписан клиенту, так как KDC вернул ошибку KDC_ERR_ETYPE_NOSUPP (14), указывающую на то, что запрошенные алгоритмы шифрования не распознаны или не включены (msDS-supportedEncryptionTypes). Эта ситуация может быть признаком неверных конфигураций, устаревших систем или потенциальных попыток использования слабых или устаревших методов шифрования.
Всплеск Kerberos-запросов со слабым типом шифрования
Множественные Kerberos-запросы, использующие слабые типы шифрования, являются признаком уязвимой конфигурации инфраструктуры и могут свидетельствовать о вредоносной активности.
Многократные неудачные попытки аутентификации Kerberos с идентичным неизвестным именем пользователя (UPN)
Большое количество Kerberos-запросов с идентичным неизвестным именем пользователя, завершившихся ошибкой KDC_ERR_C_PRINCIPAL_UNKNOWN (6), может указывать на ошибки конфигурации клиента или на попытку целенаправленного подбора пароля несуществующего пользователя.
Многократные неудачные попытки аутентификации Kerberos с идентичным неизвестным именем службы (SPN)
Большое количество Kerberos-запросов с идентичным неизвестным именем службы, завершившихся ошибкой KDC_ERR_S_PRINCIPAL_UNKNOWN (7), может указывать на ошибки конфигурации клиента или на попытку грубого подбора (brute-force) для несуществующей службы.
Многократные попытки аутентификации идентичной действующей учётной записи Kerberos с использованием неверного пароля
Обнаружено множество неудачных попыток предварительной проверки подлинности Kerberos (KDC_ERR_PREAUTH_FAILED) с одного источника, выполненных под идентичной действующей учётной записью. Это может указывать на попытку подбора паролей или может быть следствием некорректных клиентских конфигураций.
Многократные неудачные попытки аутентификации Kerberos с неверным именем домена (Kerberos Realm)
Большое количество Kerberos-запросов, завершившихся ошибкой KDC_ERR_WRONG_REALM (68), может свидетельствовать о проблемах конфигурации клиентов, ошибках DNS, проблемах доверительных отношений между областями (cross-realm trust) или о целенаправленной атаке, например, сканировании инфраструктуры, переборе действительных realm или попытках получить тикеты для сервисов из другого домена. Резкий всплеск таких ошибок требует анализа источников и целевых сервисов для выявления потенциальной угрозы.
AS-REP Roasting
Запросы Kerberos AS-REQ, использующие слабое шифрование и исходящие от учетных записей с отключенной пре-аутентификацией, представляют собой угрозу, поскольку полученные тикеты могут быть взломаны офлайн-способом для раскрытия паролей этих учетных записей. Большое количество таких запросов свидетельствует о неправильно настроенной инфраструктуре или об атаке AS-REP Roasting.
Уязвимый AS-REP
AS-REP со слабым шифрованием и без предварительной проверки подлинности (DONT_REQUIRE_PREAUTH). Переданный таким образом тикет уязвим к офлайн-взлому.
Аномальное значение SName в AS-REQ
Обнаружено аномальное значение SName в теле запроса AS-REQ, которое не соответствует ни krbtgt/domain, ни kadmin/changepw. Это поведение может соответствовать запросу сервисного тикета через AS-REQ (Initial Ticket) для No-Preauth учетных записей либо являться частным сценарием техники Kerberoasting средствами AS-REQ.
Нарушение целостности сообщений Kerberos
Выявление аномалий, связанных с нарушением целостности сообщений Kerberos. Это включает в себя обнаружение ошибок, связанных с повреждением, подделкой или модификацией сообщений Kerberos, тикетов или их полей. Такие ошибки могут свидетельствовать о попытках злоумышленников сконструировать, подделать или изменить существующие сообщения Kerberos для обхода аутентификации.
Нарушение времени Kerberos
Событие, в котором были выявлены аномалии, связанные с нарушением синхронизации времени в Kerberos-аутентификации. Включает в себя обнаружение ошибок, связанных с расхождением времени между клиентской машиной, сервером и контроллером домена (KDC), а также истечением срока действия тикетов. Такие ошибки могут свидетельствовать о попытках злоумышленников использовать устаревшие или недействительные тикеты, а также о проблемах с синхронизацией времени в инфраструктуре.
Всплеск ошибок о нарушении времени Kerberos
Запросы Kerberos, завершающиеся с кодами ошибок KRB_AP_ERR_SKEW(37), KRB_AP_ERR_TKT_NYV(33) и KDC_ERR_NEVER_VALID(11), указывают на нарушение временных параметров протокола. Значительное количество таких ошибок может свидетельствовать о проблемах синхронизации системного времени или о неудачных попытках атак повторного воспроизведения (replay attacks).
Нарушение последовательности сообщений Kerberos
Выявление аномалии, связанной с нарушением последовательности Kerberos-сообщений. Некоторые ошибки KDC означают, что ожидаемая последовательность отправки запросов Kerberos нарушается тем или иным способом. Это может быть признаком Replay-атак, DoS-атак или подделки сообщений Kerberos.
Kerberoasting
Сервисные тикеты Kerberos, зашифрованные слабыми алгоритмами, уязвимы для офлайн-взлома, что может привести к компрометации паролей соответствующих сервисных учетных записей. Множественные успешные запросы по протоколу Kerberos на получение тикетов для различных служб, использующих слабое шифрование, являются признаком неправильно настроенной инфраструктуры или атаки Kerberoasting.
Попытка перебора имен пользователей по протоколу Kerberos
Большое количество Kerberos-запросов с различными именами пользователей, завершившихся ошибкой KDC_ERR_C_PRINCIPAL_UNKNOWN (6), является признаком разведки инфраструктуры путём перебора имен учетных записей.
Попытка подбора паролей Kerberos
Обнаружено множество неудачных попыток пре-аутентификации Kerberos (KDC_ERR_PREAUTH_FAILED) с разными именами пользователей от одного источника. Это может указывать на попытку подбора паролей, но также возможны ложные срабатывания из-за некорректных клиентских конфигураций. Требуется дополнительная проверка для исключения легитимных причин.
Попытка перебора имен сервисов по протоколу Kerberos
Большое количество Kerberos-запросов с различными именами сервисов, завершившихся ошибкой KDC_ERR_S_PRINCIPAL_UNKNOWN (7), является признаком разведки инфраструктуры путём перебора имен сервисов (SPN).
Дублирование запросов Kerberos
Большое количество одинаковых успешных запросов Kerberos за короткий промежуток времени может быть признаком атак повторного воспроизведения (replay attack).
Уязвимость службы печати Windows (Print Spooler)
Множество запросов TGS-REQ с кодом ошибки KDC_ERR_S_PRINCIPAL_UNKNOWN (7) и указанием имени службы krbtgt/NT Authority свидетельствует об наличии уязвимости службы диспетчера печати (Print Spooler), которая эксплуатируется в атаке PrintNightmare или аналогичной.