Kerberos-liput varmistavat käyttäjien ja palvelimien henkilöllisyyden. Mutta hakkerit myös hyödyntävät tätä järjestelmää saadakseen arkaluontoisia tietoja sinusta.
Kerberos-liput tekevät Internetistä turvallisemman tarjoamalla välineen verkossa oleville tietokoneille ja palvelimille tiedon välittämiseen ilman, että heidän tarvitsee varmistaa henkilöllisyytensä joka vaiheessa. Tämä rooli kertaluonteisena, vaikkakin väliaikaisena todentajana tekee Kerberos-lipuista houkuttelevia hyökkääjille, jotka voivat murtaa salauksensa.
Mitä ovat Kerberos-liput?
Jos luulet, että "Kerberos" kuulostaa tutulta, olet oikeassa. Se on Hades-koiran kreikkalainen nimi (tunnetaan muuten nimellä "Cerberus"). Mutta Kerberos ei ole sylikoira; sillä on useita päitä ja se vartioi alamaailman portteja. Kerberos estää kuolleita lähtemästä ja estää järkyttyneitä hahmoja nousemasta rakkaitaan synkästä tuonpuoleisesta. Tällä tavoin voit ajatella koiraa todentajana, joka estää luvattoman pääsyn.
Kerberos on verkon todennusprotokolla, joka käyttää salausavaimia asiakkaiden (henkilökohtaisten tietokoneiden) ja tietokoneverkoissa olevien palvelimien välisen viestinnän tarkistamiseen. Massachusetts Institute of Technology (MIT) loi Kerberosin, jotta asiakkaat voivat todistaa henkilöllisyytensä palvelimille tehdessään tietopyyntöjä. Samoin palvelimet käyttävät Kerberos-lippuja todistaakseen, että lähetetyt tiedot ovat aitoja, aiotusta lähteestä ja että ne eivät ole vioittuneet.
Kerberos-liput ovat pohjimmiltaan luotetun kolmannen osapuolen asiakkaille myöntämiä varmenteita (kutsutaan avainten jakelukeskukseksi – lyhennettynä KDC). Asiakkaat esittävät tämän varmenteen ja yksilöllisen istuntoavaimen palvelimelle, kun se aloittaa tietopyynnön. Lipun esittäminen ja todentaminen luo luottamusta asiakkaan ja palvelimen välille, joten jokaista pyyntöä tai komentoa ei tarvitse tarkistaa.
Miten Kerberos-liput toimivat?
Kerberos-liput todentavat käyttäjien pääsyn palveluihin. Ne auttavat palvelimia myös jakamaan pääsyn osiin, jos samaa palvelua käyttää useita käyttäjiä. Näin pyynnöt eivät vuoda toisiinsa, eivätkä luvattomat henkilöt pääse käsiksi etuoikeutettujen käyttäjien tietoihin.
Esimerkiksi, Microsoft käyttää Kerberosia todennusprotokolla, kun käyttäjät käyttävät Windows-palvelimia tai PC-käyttöjärjestelmiä. Joten kun kirjaudut sisään tietokoneellesi käynnistyksen jälkeen, käyttöjärjestelmä käyttää Kerberos-lippuja sormenjälkesi tai salasanasi todentamiseen.
Tietokoneesi tallentaa lipun tilapäisesti kyseisen istunnon LSASS-prosessimuistiin. Siitä eteenpäin käyttöjärjestelmä käyttää välimuistissa olevaa lippua kertakirjautumisen todennukset, joten sinun ei tarvitse antaa biometrisiä tietojasi tai salasanaasi joka kerta, kun sinun on tehtävä jotain, joka vaatii järjestelmänvalvojan oikeuksia.
Suuremmassa mittakaavassa Kerberos-lippuja käytetään turvaamaan verkkoviestintää Internetissä. Tämä sisältää muun muassa HTTPS-salauksen ja käyttäjätunnuksen ja salasanan vahvistuksen kirjautumisen yhteydessä. Ilman Kerberosta verkkoviestintä olisi alttiina hyökkäyksille, kuten sivustojen välinen pyyntöväärennös (CSRF) ja mies-in-the-middle-hakkerointi.
Mitä Kerberoasting oikein on?
Kerberoasting on hyökkäysmenetelmä, jossa verkkorikolliset varastavat Kerberos-lippuja palvelimilta ja yrittävät poimia selkeitä salasanojen tiivisteitä. Tämä hyökkäys on pohjimmiltaan sosiaalista manipulointia, tunnistetietojen varastaminen, ja raa'an voiman hyökkäys, kaikki yhdeksi. Ensimmäisessä ja toisessa vaiheessa hyökkääjä esiintyy asiakkaana ja pyytää Kerberos-lippuja palvelimelta.
Tietenkin lippu on salattu. Lipun hankkiminen ratkaisee kuitenkin toisen hakkerin kahdesta haasteesta. Kun he saavat Kerberos-lipun palvelimelta, seuraava haaste on sen salauksen purkaminen millä tahansa tarpeellisella tavalla. Kerberos-lippuja hallussaan pitävät hakkerit tekevät äärimmäisen paljon murtaakseen tämän tiedoston, koska se on arvokasta.
Kuinka Kerberoasting-hyökkäykset toimivat?
Kerberoasting hyödyntää kahta yleistä suojausvirhettä aktiivisissa hakemistoissa – lyhyiden, heikkojen salasanojen käyttöä ja tiedostojen suojaamista heikolla salauksella. Hyökkäys alkaa hakkerilla, joka pyytää käyttäjätiliä Kerberos-lipun KDC: ltä.
KDC antaa sitten salatun lipun odotetusti. Sen sijaan, että hakkeri käyttäisi tätä lippua todentamiseen palvelimen kanssa, hakkeri siirtää sen offline-tilaan ja yrittää murtaa lipun raa'alla voimalla. Tähän käytetyt työkalut ovat ilmaisia ja avoimen lähdekoodin, kuten mimikatz, Hashcat ja JohnTheRipper. Hyökkäys voidaan myös automatisoida työkaluilla, kuten invoke-kerberoast ja Rubeus.
Onnistunut kerberoasting-hyökkäys poimii lipusta selväkieliset salasanat. Hyökkääjä voi sitten käyttää sitä todentaakseen pyynnöt palvelimelle vaarantuneelta käyttäjätililtä. Vielä pahempaa on, että hyökkääjä voi hyödyntää uutta, luvatonta pääsyä varastaakseen tietoja, siirtää sivusuunnassa aktiivisessa hakemistossaja määritä valetilit järjestelmänvalvojan oikeuksilla.
Pitäisikö sinun olla huolissaan Kerberoastingista?
Kerberoasting on suosittu hyökkäys aktiivisia hakemistoja vastaan, ja sinun pitäisi olla huolissaan siitä, jos olet verkkotunnuksen järjestelmänvalvoja tai sinisen tiimin operaattori. Tämän hyökkäyksen havaitsemiseksi ei ole oletusarvoista verkkotunnuksen määritystä. Suurin osa siitä tapahtuu offline-tilassa. Jos olet joutunut tämän uhriksi, tiedät todennäköisesti sen jälkeenpäin.
Voit vähentää altistumistasi varmistamalla, että kaikki verkossasi käyttävät pitkiä salasanoja, jotka koostuvat satunnaisista aakkosnumeerisista merkeistä ja symboleista. Lisäksi sinun tulee käyttää edistynyttä salausta ja asettaa hälytyksiä verkkotunnuksen käyttäjien epätavallisista pyynnöistä. Sinun on myös suojauduttava sosiaalisilta manipuloinneilta estääksesi tietoturvaloukkaukset, jotka alkavat Kerberoatingista.
