Шта је Кербероастинг и да ли треба да бринете о томе?

Керберос карте чине интернет безбеднијим тако што омогућавају рачунарима и серверима на мрежи да прослеђују податке без потребе да се верификује њихов идентитет на сваком кораку. Међутим, ова улога једнократног, иако привременог, аутентификатора чини Керберос тикете привлачним за нападаче који могу да разбију њихову енкрипцију.

Шта су Керберос карте?

Ако мислите да „Керберос“ звучи познато, у праву сте. То је грчко име Хадовог пса (иначе познатог као "Церберус"). Али Керберос није лапдог; има неколико глава и чува капије подземног света. Керберос спречава мртве да оду и спречава избезумљене ликове да извуку своје вољене из мрачног загробног живота. На тај начин можете размишљати о псу као о аутентификатору који спречава неовлашћени приступ.

Керберос је протокол за мрежну аутентификацију који користи криптографске кључеве за верификацију комуникације између клијената (личних рачунара) и сервера на рачунарским мрежама. Керберос је креирао Технолошки институт у Масачусетсу (МИТ) као начин да клијенти докажу свој идентитет серверима када подносе захтеве за подацима. Исто тако, сервери користе Керберос карте да докажу да су послати подаци аутентични, из предвиђеног извора и да нису оштећени.

Керберос тикете су у основи сертификати које клијентима издаје трећа страна од поверења (која се зове центар за дистрибуцију кључева – скраћено КДЦ). Клијенти представљају овај сертификат, заједно са јединственим кључем сесије, серверу када покрене захтев за подацима. Презентовање и провера аутентичности тикета успоставља поверење између клијента и сервера, тако да нема потребе да се верификује сваки појединачни захтев или наредба.

Како функционишу Керберос карте?

Керберос карте потврђују приступ корисника услугама. Они такође помажу серверима да раздвоје приступ у случајевима када више корисника приступа истој услузи. На овај начин захтеви не цуре један у други, а неовлашћене особе не могу приступити подацима ограниченим на привилеговане кориснике.

На пример, Мицрософт користи Керберос протокол за аутентификацију када корисници приступају Виндовс серверима или оперативним системима рачунара. Дакле, када се пријавите на рачунар након покретања, ОС користи Керберос карте за аутентификацију вашег отиска прста или лозинке.

Ваш рачунар привремено складишти тикет у процесну меморију услуге локалног безбедносног ауторитета (ЛСАСС) за ту сесију. Одатле па надаље, ОС користи кеширану карту за аутентификације са јединственом пријавом, тако да не морате да дајете своју биометрију или лозинку сваки пут када треба да урадите нешто што захтева административне привилегије.

У већем обиму, Керберос карте се користе за заштиту мрежне комуникације на интернету. Ово укључује ствари као што су ХТТПС шифровање и верификација корисничког имена и лозинке при пријављивању. Без Кербероса, мрежна комуникација би била подложна нападима као што су фалсификовање захтева на више локација (ЦСРФ) и хакове човека у средини.

Шта је тачно Кербероастинг?

Кербероастинг је метода напада где сајбер криминалци краду Керберос карте са сервера и покушавају да извуку хешове лозинки отвореног текста. У суштини, овај напад је друштвени инжењеринг, крађа акредитива, и напад грубом силом, све скупа у једно. Први и други корак укључују нападач који се лажно представља као клијент и тражи Керберос карте од сервера.

Наравно, карта је шифрована. Ипак, добијање карте решава један од два изазова за хакера. Када добију Керберос карту са сервера, следећи изазов је дешифровање на било који начин. Хакери који поседују Керберос тикете ће се потрудити да разбију ову датотеку због њене вредности.

Како функционишу Кербероастинг напади?

Кербероастинг користи две уобичајене безбедносне грешке у активним директоријумима — коришћење кратких, слабих лозинки и обезбеђење датотека са слабом енкрипцијом. Напад почиње тако што хакер користи кориснички налог да затражи Керберос карту од КДЦ-а.

КДЦ затим издаје шифровану карту према очекивањима. Уместо да користи овај тикет за аутентификацију са сервером, хакер га уклања ван мреже и покушава да га разбије техникама грубе силе. Алати који се користе за ово су бесплатни и отвореног кода, као што су мимикатз, Хасхцат и ЈохнТхеРиппер. Напад се такође може аутоматизовати помоћу алата као што су инвоке-кербероаст и Рубеус.

Успешан кербероастинг напад ће извући лозинке отвореног текста из тикета. Нападач онда то може користити за аутентификацију захтева серверу са компромитованог корисничког налога. Што је још горе, нападач може искористити новопронађени, неовлашћени приступ за крађу података, померите се бочно у активном директоријуму, и подесите лажне налоге са администраторским привилегијама.

Да ли би требало да будете забринути због Кербероастинга?

Кербероастинг је популаран напад на активне директоријуме и требало би да будете забринути због тога ако сте администратор домена или оператер плавог тима. Не постоји подразумевана конфигурација домена за откривање овог напада. Већина тога се дешава ван мреже. Ако сте били жртва овога, највероватније ћете сазнати после.

Можете смањити своју изложеност тако што ћете осигурати да сви на вашој мрежи користе дугачке лозинке које се састоје од насумичних алфанумеричких знакова и симбола. Штавише, требало би да користите напредно шифровање и подесите упозорења за необичне захтеве корисника домена. Такође ћете морати да се заштитите од друштвеног инжењеринга да бисте спречили нарушавање безбедности које започињу Кербероатинг на првом месту.