ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1208

术语表: /attack/glossary

Kerberoasting

服务主体名称 (SPNs) 用于唯一标识 Windows 服务的每个实例。 要启用身份验证,Kerberos 要求 SPNs 至少与一个服务登录帐户(专门负责运行某一服务 的帐户)相关联。

拥有有效 Kerberos 票据授予票据 (TGT) 的攻击者可以为域控制器 (DC) 中的任意 SPN 请求一个或多个 Kerberos 票据授予服务 (TGS) 的服务票据。 这些票据的一部分可能使用 RC4 算法加密,这意味着与 SPN 关联的服务帐户的 Kerberos 5 TGS-REP etype 23 散列被用作私钥,因此很容易受到离线爆破 (Brute Force) 攻击,这种攻击可能会暴露明文凭证。

可以利用从网络流量捕获的服务票据执行相同的攻击。

破解的散列可以通过访问有效帐户 (Valid Accounts) 来获得持久化 (Persistence)、提权 (Privilege Escalation) 和横向移动(Lateral Movement)。

缓解

确保服务帐户强密码的长度(最好 25 个字符以上)和复杂性,并确保这些密码会定时失效。 还可以考虑使用组托管服务帐户(Group Managed Service Accounts)或其他第三方产品,如 password vaulting。

将服务帐户限制为所需的最低特权,包括在域管理员等特权组中的成员资格。

尽可能启用 AES Kerberos 加密(或其他更强大的加密算法),而不是 RC4。

检测

启用审计 Kerberos 服务票据行为(Audit Kerberos Service Ticket Operations)功能,以记录 Kerberos TGS 服务票据请求。 特别要调查不规则的活动模式(例如:帐户在很短的时间内发出大量请求,事件 ID 4769,特别是如果他们也请求 RC4 加密 [type 0x17])。