/ / Kerberoasting là gì và bạn có nên lo lắng về nó không?

Kerberoasting là gì và bạn có nên lo lắng về nó không?

Vé Kerberos giúp Internet an toàn hơn bằng cách cung cấp phương tiện cho các máy tính và máy chủ trên mạng truyền dữ liệu mà không cần xác minh danh tính của chúng ở mỗi bước. Tuy nhiên, vai trò là trình xác thực một lần, mặc dù tạm thời, khiến vé Kerberos trở nên hấp dẫn đối với những kẻ tấn công có thể bẻ khóa mã hóa của chúng.



Vé Kerberos là gì?

Nếu bạn nghĩ rằng “Kerberos” nghe có vẻ quen thuộc thì bạn đã đúng. Đó là tên Hy Lạp của con chó của Hades (còn được gọi là “Cerberus”). Nhưng Kerberos không phải là chó cưng; nó có vài cái đầu và canh giữ các cổng của thế giới ngầm. Kerberos ngăn không cho người chết rời đi và ngăn những nhân vật quẫn trí cứu những người thân yêu của họ khỏi thế giới bên kia nghiệt ngã. Theo cách đó, bạn có thể coi con chó như một công cụ xác thực ngăn chặn truy cập trái phép.

Kerberos là một giao thức xác thực mạng sử dụng các khóa mật mã để xác minh thông tin liên lạc giữa máy khách (máy tính cá nhân) và máy chủ trên mạng máy tính. Kerberos được tạo bởi Viện Công nghệ Massachusetts (MIT) như một cách để khách hàng chứng minh danh tính của họ với máy chủ khi họ đưa ra yêu cầu dữ liệu. Tương tự như vậy, các máy chủ sử dụng vé Kerberos để chứng minh rằng dữ liệu được gửi là xác thực, từ nguồn dự định và không bị hỏng.

Vé Kerberos về cơ bản là chứng chỉ do bên thứ ba đáng tin cậy cấp cho khách hàng (được gọi là trung tâm phân phối khóa—viết tắt là KDC). Máy khách xuất trình chứng chỉ này, cùng với khóa phiên duy nhất, cho máy chủ khi máy chủ bắt đầu yêu cầu dữ liệu. Việc trình bày và xác thực vé sẽ thiết lập sự tin cậy giữa máy khách và máy chủ, vì vậy không cần phải xác minh mọi yêu cầu hoặc lệnh đơn lẻ.

Vé Kerberos hoạt động như thế nào?

Một dấu hiệu cho biết

Vé Kerberos xác thực quyền truy cập của người dùng vào các dịch vụ. Chúng cũng giúp các máy chủ phân chia quyền truy cập trong trường hợp có nhiều người dùng truy cập cùng một dịch vụ. Bằng cách này, các yêu cầu không bị rò rỉ lẫn nhau và những người không được ủy quyền không thể truy cập dữ liệu bị hạn chế đối với người dùng có đặc quyền.

Ví dụ: Microsoft sử dụng giao thức xác thực Kerberos khi người dùng truy cập máy chủ Windows hoặc hệ điều hành PC. Vì vậy, khi bạn đăng nhập vào máy tính của mình sau khi khởi động, HĐH sẽ sử dụng vé Kerberos để xác thực dấu vân tay hoặc mật khẩu của bạn.

Máy tính của bạn tạm thời lưu phiếu trong bộ nhớ xử lý Dịch vụ hệ thống phụ của cơ quan bảo mật cục bộ (LSASS) cho phiên đó. Từ đó trở đi, hệ điều hành sử dụng vé đã lưu trong bộ nhớ đệm để xác thực đăng nhập một lần, vì vậy bạn không phải cung cấp thông tin sinh trắc học hoặc mật khẩu của mình mỗi khi bạn cần thực hiện điều gì đó yêu cầu đặc quyền quản trị.

Ở quy mô lớn hơn, vé Kerberos được sử dụng để bảo vệ mạng truyền thông trên internet. Điều này bao gồm những thứ như mã hóa HTTPS và xác minh tên người dùng-mật khẩu khi đăng nhập. Nếu không có Kerberos, giao tiếp mạng sẽ dễ bị tấn công như giả mạo yêu cầu giữa các trang web (CSRF) và tấn công trung gian.

Kerberoasting chính xác là gì?

Kerberoasting là một phương pháp tấn công trong đó tội phạm mạng đánh cắp vé Kerberos từ máy chủ và cố gắng trích xuất các hàm băm mật khẩu văn bản gốc. Về cốt lõi, cuộc tấn công này là kỹ thuật xã hội, đánh cắp thông tin xác thực và tấn công vũ phu, tất cả được gộp làm một. Bước đầu tiên và bước thứ hai liên quan đến kẻ tấn công mạo danh khách hàng và yêu cầu vé Kerberos từ máy chủ.

Tất nhiên, vé được mã hóa. Tuy nhiên, việc có được tấm vé giải quyết được một trong hai thách thức đối với tin tặc. Sau khi họ có vé Kerberos từ máy chủ, thử thách tiếp theo là giải mã nó bằng mọi cách cần thiết. Tin tặc sở hữu vé Kerberos sẽ mất nhiều thời gian để bẻ khóa tệp này vì giá trị của nó.

Các cuộc tấn công Kerberoasting hoạt động như thế nào?

Kerberoasting khai thác hai lỗi bảo mật phổ biến trong các thư mục đang hoạt động—sử dụng mật khẩu ngắn, yếu và bảo mật tệp bằng mã hóa yếu. Cuộc tấn công bắt đầu bằng việc tin tặc sử dụng tài khoản người dùng để yêu cầu vé Kerberos từ KDC.

KDC sau đó phát hành một vé được mã hóa như mong đợi. Thay vì sử dụng vé này để xác thực với máy chủ, tin tặc sẽ đưa nó vào chế độ ngoại tuyến và cố gắng bẻ khóa vé bằng các kỹ thuật vũ phu. Các công cụ được sử dụng để thực hiện việc này là nguồn mở và miễn phí, chẳng hạn như mimikatz, Hashcat và JohnTheRipper. Cuộc tấn công cũng có thể được tự động hóa bằng các công cụ như Invoke-kerberoast và Rubeus.

Một cuộc tấn công kerberoasting thành công sẽ trích xuất mật khẩu văn bản gốc từ vé. Sau đó, kẻ tấn công có thể sử dụng thông tin đó để xác thực các yêu cầu đến máy chủ từ tài khoản người dùng bị xâm nhập. Tệ hơn nữa, kẻ tấn công có thể tận dụng quyền truy cập trái phép, mới được tìm thấy để đánh cắp dữ liệu, di chuyển ngang trong thư mục hoạt động và thiết lập tài khoản giả với đặc quyền của quản trị viên.

Bạn có nên lo lắng về Kerberoasting?

Kerberoasting là một cuộc tấn công phổ biến vào các thư mục đang hoạt động và bạn nên lo lắng về điều đó nếu bạn là quản trị viên miền hoặc nhà điều hành nhóm xanh. Không có cấu hình miền mặc định để phát hiện cuộc tấn công này. Hầu hết nó xảy ra ngoại tuyến. Nếu bạn đã từng là nạn nhân của việc này, rất có thể bạn sẽ biết sau sự việc.

Bạn có thể giảm mức độ tiếp xúc của mình bằng cách đảm bảo mọi người trong mạng của bạn sử dụng mật khẩu dài bao gồm các ký tự và ký tự chữ và số ngẫu nhiên. Hơn nữa, bạn nên sử dụng mã hóa nâng cao và thiết lập cảnh báo cho các yêu cầu bất thường từ người dùng miền. Bạn cũng sẽ cần đề phòng kỹ thuật xã hội để ngăn chặn các hành vi vi phạm an ninh bắt đầu từ Kerberoating ngay từ đầu.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *