Kerberoasting چیست و آیا باید نگران آن باشید؟

بلیط Kerberos هویت کاربران و سرورها را تأیید می کند. اما هکرها نیز از این سیستم برای یافتن اطلاعات حساس در مورد شما سوء استفاده می کنند.

بلیط‌های Kerberos با ارائه ابزاری برای رایانه‌ها و سرورها در شبکه برای انتقال داده‌ها بدون نیاز به تأیید هویت در هر مرحله، اینترنت را ایمن‌تر می‌کنند. با این حال، این نقش به‌عنوان یک تأییدکننده یک‌بار، هرچند موقت، بلیط‌های Kerberos را برای مهاجمانی که می‌توانند رمزگذاری آن‌ها را کرک کنند، جذاب می‌کند.

بلیط Kerberos چیست؟

اگر فکر می کنید “Kerberos” آشنا به نظر می رسد، درست می گویید. این نام یونانی سگ هادس (با نام دیگر “سربروس”) است. اما Kerberos سگ سگ نیست. چندین سر دارد و از دروازه‌های عالم اموات محافظت می‌کند. کربروس از رفتن مردگان جلوگیری می‌کند و شخصیت‌های پریشان را از بیرون آوردن عزیزانشان از زندگی تلخ پس از مرگ باز می‌دارد. به این ترتیب، می توانید سگ را به عنوان یک احراز هویت در نظر بگیرید که از دسترسی غیرمجاز جلوگیری می کند.

Kerberos یک پروتکل احراز هویت شبکه است که از کلیدهای رمزنگاری برای تأیید ارتباطات بین مشتریان (رایانه های شخصی) و سرورها در شبکه های رایانه ای استفاده می کند. Kerberos توسط موسسه فناوری ماساچوست (MIT) به عنوان راهی برای مشتریان برای اثبات هویت خود به سرورها هنگام درخواست داده ایجاد شد. به همین ترتیب، سرورها از بلیط های Kerberos استفاده می کنند تا ثابت کنند که داده های ارسال شده معتبر هستند، از منبع مورد نظر، و خراب نشده اند.

بلیط‌های Kerberos اساساً گواهی‌هایی هستند که توسط یک شخص ثالث قابل اعتماد برای مشتریان صادر می‌شوند (که به اختصار KDC نامیده می‌شود). مشتریان این گواهی را به همراه یک کلید جلسه منحصربفرد به سرور ارائه می دهند که درخواست داده را آغاز کند. ارائه و احراز هویت بلیط باعث ایجاد اعتماد بین مشتری و سرور می شود، بنابراین نیازی به تأیید تک تک درخواست ها یا دستورات نیست.

مطلب مرتبط: انواع کابل HDMI: هر آنچه که باید بدانید

بلیط Kerberos چگونه کار می کند؟

بلیط‌های Kerberos دسترسی کاربر به خدمات را تأیید می‌کنند. آنها همچنین به سرورها کمک می کنند تا دسترسی را در مواردی که چندین کاربر به یک سرویس دسترسی دارند، تقسیم بندی کنند. به این ترتیب، درخواست‌ها به یکدیگر نشت نمی‌کنند و افراد غیرمجاز نمی‌توانند به داده‌های محدود به کاربران ممتاز دسترسی داشته باشند.

به عنوان مثال، مایکروسافت از پروتکل احراز هویت Kerberos برای دسترسی کاربران به سرورهای ویندوز یا سیستم عامل های رایانه شخصی استفاده می کند. بنابراین، وقتی پس از بوت شدن وارد رایانه خود می شوید، سیستم عامل از بلیط های Kerberos برای احراز هویت اثر انگشت یا رمز عبور شما استفاده می کند.

رایانه شما به طور موقت بلیط را در حافظه پردازش محلی امنیت محلی خدمات زیرسیستم (LSASS) برای آن جلسه ذخیره می کند. از آنجا به بعد، سیستم عامل از بلیط ذخیره شده در حافظه پنهان برای احراز هویت یکبار ورود به سیستم استفاده می کند، بنابراین لازم نیست هر بار که نیاز به انجام کاری که به امتیازات مدیریتی نیاز دارد، بیومتریک یا رمز عبور خود را ارائه دهید.

در مقیاس بزرگ‌تر، بلیط‌های Kerberos برای محافظت از ارتباطات شبکه در اینترنت استفاده می‌شوند. این شامل مواردی مانند رمزگذاری HTTPS و تأیید نام کاربری-گذرواژه در هنگام ورود است. بدون Kerberos، ارتباطات شبکه در برابر حملاتی مانند جعل درخواست بین سایتی (CSRF) و هک‌های Man-in-the-Middle آسیب‌پذیر خواهد بود.

Kerberoasting دقیقا چیست؟

Kerberoasting روشی برای حمله است که در آن مجرمان سایبری بلیط های Kerberos را از سرورها می دزدند و سعی می کنند هش رمز عبور متن ساده را استخراج کنند. در هسته خود، این حمله مهندسی اجتماعی، سرقت اعتبار، و حمله brute-force است که همه در یک جا جمع شده اند. مرحله اول و دوم شامل جعل هویت یک کلاینت توسط مهاجم و درخواست بلیط Kerberos از یک سرور است.

مطلب مرتبط: تصمیم گیری هوش مصنوعی در امنیت سایبری چیست و آیا می توانیم به آن اعتماد کنیم؟

البته بلیط رمزگذاری شده است. با این وجود، دریافت بلیط یکی از دو چالش را برای هکر حل می کند. هنگامی که آنها بلیط Kerberos را از سرور دریافت کردند، چالش بعدی رمزگشایی آن به هر وسیله لازم است. هکرهایی که بلیط های Kerberos را در اختیار دارند، به دلیل ارزشمندی این فایل، برای شکستن این فایل تلاش زیادی می کنند.

حملات Kerberoasting چگونه کار می کنند؟

Kerberoasting از دو اشتباه امنیتی رایج در دایرکتوری های فعال استفاده می کند: استفاده از رمزهای عبور کوتاه و ضعیف و ایمن سازی فایل ها با رمزگذاری ضعیف. حمله با استفاده از یک هکر برای درخواست بلیط Kerberos از یک KDC آغاز می شود.

سپس KDC همانطور که انتظار می رود یک بلیط رمزگذاری شده صادر می کند. هکر به جای استفاده از این تیکت برای احراز هویت با سرور، آن را آفلاین می‌کند و سعی می‌کند بلیط را با تکنیک‌های brute force شکست دهد. ابزارهای مورد استفاده برای انجام این کار رایگان و متن باز هستند، مانند mimikatz، Hashcat و JohnTheRipper. این حمله همچنین می تواند با ابزارهایی مانند invoke-kerberoast و Rubeus خودکار شود.

یک حمله موفقیت آمیز kerberoasting رمزهای عبور متن ساده را از بلیط استخراج می کند. سپس مهاجم می تواند از آن برای احراز هویت درخواست های یک سرور از یک حساب کاربری در معرض خطر استفاده کند. بدتر از آن، مهاجم می‌تواند از دسترسی جدید و غیرمجاز برای سرقت داده‌ها، حرکت جانبی در فهرست فعال و راه‌اندازی حساب‌های ساختگی با امتیازات مدیریت استفاده کند.

آیا باید نگران Kerberoasting باشید؟

Kerberoasting یک حمله محبوب به دایرکتوری های فعال است و اگر مدیر دامنه یا اپراتور تیم آبی هستید باید نگران آن باشید. هیچ پیکربندی پیش فرض دامنه برای شناسایی این حمله وجود ندارد. بیشتر آن به صورت آفلاین اتفاق می افتد. اگر شما قربانی این موضوع شده اید، به احتمال زیاد بعد از این واقعیت خواهید فهمید.

مطلب مرتبط: 1.5 میلیون دلار رمز ارز از طریق هک خودپرداز بیت کوین جنرال بایت به سرقت رفته است

می توانید با اطمینان از اینکه همه افراد در شبکه شما از رمزهای عبور طولانی متشکل از نویسه ها و نمادهای الفبایی عددی تصادفی استفاده می کنند، قرار گرفتن در معرض خود را کاهش دهید. علاوه بر این، باید از رمزگذاری پیشرفته استفاده کنید و هشدارهایی را برای درخواست‌های غیرمعمول کاربران دامنه تنظیم کنید. همچنین برای جلوگیری از نقض امنیت که در وهله اول Kerberoating را آغاز می کند، باید از مهندسی اجتماعی محافظت کنید.