Bulletin sur les attaques hybrides : Découvrir Salt Typhoon - La tempête silencieuse dans les cyberattaques des opérateurs télécoms >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Technique d'attaque

Kerberoasting

Le protocole Kerberos réduit le risque de réutilisation et de non-sécurisation des mots de passe, mais peut vous exposer à des attaques de type Kerberoasting . Voici ce que vous devez savoir sur cette technique d'attaque courante.

Définition
Comment cela fonctionne-t-il ?
Pourquoi les attaquants l'utilisent-ils ?
Détection
Foire aux questions
Définition

Qu'est-ce que Kerberoasting?

Kerberoasting est une technique d'attaque qui cible Kerberos - un protocole d'authentification qui utilise la cryptographie à clé symétrique et un centre de distribution de clés (KDC) pour vérifier les identités des utilisateurs.

Kerberoasting Les attaques commencent lorsqu'un utilisateur de domaine authentifié demande un ticket de service pour un nom de principal de service (SPN), qui sert d'identifiant unique.

L'attaquant extrait le ticket de service, qui est crypté avec le hachage du mot de passe du compte de service affilié. Il tente ensuite de déchiffrer le mot de passe en clair.

Comment cela fonctionne-t-il ?

Comment fonctionne Kerberoasting ?

Kerberoasting exploitent le jeton d'authentification TGT (ticket-granting ticket) émis par le KDC, qui est utilisé pour demander des jetons d'accès au service Kerberos d'attribution de tickets (TGS). En termes simples, le protocole Kerberos permet de s'authentifier : Le protocole Kerberos vous permet d'authentifier les comptes d'utilisateurs du domaine sans avoir à demander aux personnes de saisir ou de stocker constamment des mots de passe - et les attaquants disposent d'outils spécialisés pour l'exploiter. Les attaquants disposent d'outils spécialisés pour l'exploiter :

  1. Énumération des comptes de service: L'attaquant, qui a déjà pris pied dans le réseau, énumère les comptes de service. Il s'agit généralement de comptes dont les SPN sont enregistrés dans Active Directory.
  2. Demande de tickets: L'attaquant demande un ticket de service (TGS) pour les comptes de service identifiés.
  3. Ticket Granting:Le contrôleur de domaine émet un ticket TGS (Ticket Granting Service) crypté avec le hachage du mot de passe du compte de service.
  4. Extraction de tickets cryptés: Le protocole Kerberos renvoie un ticket crypté, qui comprend des données cryptées avec le hachage NTLM du compte de service.
  5. Craquage hors ligne: Le pirate utilise des outils tels que John the Ripper ou Hashcat pour déchiffrer le hachage du mot de passe et révéler les mots de passe en clair.

Le processus Kerberoasting
Pourquoi les attaquants l'utilisent-ils ?

Pourquoi les attaquants utilisent-ils Kerberoasting

Les attaquants utilisent Kerberoasting pour obtenir les mots de passe hachés des comptes de service dans un environnement Microsoft Active Directory. En exploitant le fonctionnement de l'authentification Kerberos, les attaquants peuvent extraire ces hachages de mots de passe et tenter de les craquer hors ligne. En réussissant à craquer ces hachages, les attaquants peuvent obtenir des privilèges élevés, ce qui leur permet de se déplacer latéralement au sein du réseau, d'accéder à des données sensibles ou de compromettre davantage le système.

Voici les raisons pour lesquelles les attaquants utilisent Kerberoasting:

Élévation de privilèges

  • Accès aux comptes à privilèges élevés: Les comptes de service disposent souvent d'autorisations élevées. L'obtention de leurs informations d'identification permet aux attaquants d'effectuer des actions nécessitant des privilèges plus élevés.
  • Mouvement latéral: En accédant aux comptes de service, les attaquants peuvent se déplacer entre les différents systèmes du réseau, ce qui leur permet d'étendre leur champ d'action.

Exploitation furtive

  • Risque de détection faible: Kerberoasting peut être exécuté par n'importe quel utilisateur authentifié du domaine sans déclencher d'alertes de sécurité immédiates car la demande de tickets de service est un comportement standard.
  • Craquage de mots de passe hors ligne: Le craquage de mot de passe s'effectuant hors ligne, il évite d'être détecté par les outils de surveillance du réseau.

Exploitation des faiblesses des pratiques de sécurité

  • Mots de passe faibles ou inchangés: Les mots de passe des comptes de service sont souvent faibles ou ne sont pas modifiés régulièrement, ce qui les rend susceptibles d'être piratés.
  • Mauvaises configurations: Des comptes et des autorisations mal configurés peuvent faciliter l'exécution des attaques Kerberoasting .

Aucun privilège particulier n'est nécessaire

  • Accessible aux utilisateurs ordinaires: Tout utilisateur disposant d'un accès au domaine peut demander des tickets de service, ce qui en fait un vecteur d'attaque largement accessible.
  • Contournement des restrictions du réseau: Les attaquants n'ont pas besoin d'un accès direct au contrôleur de domaine ou aux serveurs sensibles pour exécuter Kerberoasting.
Détections de plates-formes

Comment détecter les attaques Kerberoasting

Pour protéger votre organisation contre les attaques Kerberoasting , une détection précoce est essentielle. En plus de surveiller les modèles de trafic Kerberos et les demandes de tickets inhabituels, utilisez des détections basées sur le comportement pour identifier les anomalies dans les demandes réelles. 

Vectra AI fournit deux types de détections Kerberoasting : 

  • La détection SPN Sweep se concentre sur l'identification des tentatives d'énumération des Service Principal Names (SPN) dans votre environnement Active Directory. Cela vous indique quand les attaquants peuvent recueillir des informations sur les comptes de service qu'ils peuvent cibler.
  • La détection Cipher Downgrade recherche les tentatives de demande de tickets Kerberos utilisant des types de chiffrement plus faibles, tels que le chiffrement RC4. Cela vous indique quand les attaquants sont susceptibles de manipuler le système pour générer des tickets plus faciles à pirater.

‍La détectionAccount Scan identifie les tentatives d'interrogation du service d'authentification Kerberos à la recherche de comptes d'utilisateurs valides - un précurseur courant de Kerberoasting.

Détection
Kerberoasting: SPN Sweep
En savoir plus
Détection
Kerberoasting: Demande de chiffrement faible
En savoir plus
Détection
Kerberoasting: Réponse ciblée au chiffrement faible
En savoir plus
Détection
Kerberos Brute-Sweep
En savoir plus
Explorer toutes les détections

Protégez votre réseau grâce à des détections avancées

Kerberoasting est l'une des dizaines de détections avancées basées sur l'IA disponibles sur la plateforme Vectra AI , qui couvre 90 % des techniques MITRE ATT&CK pertinentes.

Explorer la plateforme
En savoir plus

Foire aux questions