🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie o projeto e divulgue suas redes! Clique aqui
Especialistas em segurança falam sobre kerberoasting há mais de uma década, mas esse ataque continua a evitar os métodos típicos de defesa. Por que? É porque as detecções existentes dependem de heurísticas quebradiças e regras estáticas, que não sustentam para detectar possíveis padrões de ataque no tráfego Kerberos altamente variável. Eles freqüentemente geram falsos positivos ou perdem os ataques "baixos e lentos".
Existe uma maneira melhor e mais precisa para as organizações modernas detectarem anomalias sutis no tráfego irregular de Kerberos? A equipe de pesquisa da BeyondTrust procurou responder a essa pergunta, combinando informações de pesquisa de segurança com estatísticas avançadas. Este artigo oferece uma visão de alto nível das forças motrizes por trás de nossa pesquisa e nosso processo de desenvolvimento e teste de uma nova estrutura estatística para melhorar a precisão da detecção de anomalias de Kerberos e reduzir os falsos positivos.
Uma introdução aos ataques de Kerberoasting
Os ataques de Kerberoasting aproveitam o Protocolo de Autenticação da Rede Kerberos nos ambientes do Windows Active Directory. O processo de autenticação Kerberos funciona da seguinte maneira:
1. AS-REQ: Um usuário efetua login e solicita um ticket bilhete (TGT).
2. AS-REP: O servidor de autenticação verifica as credenciais do usuário e emite um TGT.
3. TGS-REQ: Quando o usuário deseja solicitar acesso a um serviço, eles solicitam um ticket de concessão de ticket (TGS) usando o TGT recebido anteriormente. Esta ação é registrada como Evento Windows 4769 [1] no controlador de domínio.
4. TGS-REP: O TGS verifica a solicitação e emite um TGS, que é criptografado usando o hash de senha da conta de serviço associada ao serviço solicitado.
5. KRB-AP-REQ: Para o usuário autenticar contra um serviço usando o ticket TGS, eles o enviam para o servidor de aplicativos, que toma várias ações para verificar a legitimidade do usuário e permitir acesso ao serviço solicitado.
Os invasores pretendem explorar esse processo porque os tickets de serviço Kerberos são criptografados com o hash da senha da conta de serviço. Para aproveitar os ingressos para Kerberos, os invasores alavancam o LDAP (protocolo de acesso ao diretório leve) para consultar o diretório para quaisquer contas de anúncios que tenham nomes principais de serviço (SPNs) associados a eles. Um invasor solicitará os tickets de serviço de concessão de ingressos (TGS) para essas contas, que podem ser feitas sem nenhum direito administrativo. Depois de solicitarem esses tickets de serviço, eles podem quebrar o hash offline para descobrir as credenciais da conta de serviço. O acesso a uma conta de serviço pode então permitir que o invasor se mova lateralmente, escalie privilégios ou exfiltrar dados.
As deficiências dos métodos heurísticos típicos
Muitas organizações possuem métodos de detecção baseados em heurísticos para sinalizar o comportamento irregular de Kerberos. Um método comum é a detecção baseada em volume, que pode sinalizar um pico na atividade de solicitação do TGS de uma única conta. Se um invasor solicitar tickets do TGS para todos os nomes principais de serviço que eles podem encontrar usando o LDAP, esse método de detecção provavelmente identificará esse pico como atividade suspeita. Outro método, a análise do tipo criptografia, pode detectar se um invasor tenta fazer o downgrade da criptografia dos tickets TGS solicitados do AES padrão para um tipo mais fraco, como RC4 ou DES, na esperança de facilitar seu próprio trabalho quando começam a quebrar o hash.
Embora esses dois métodos estáticos baseados em regras possam funcionar em alguns casos, eles produzem um número notório de falsos positivos. Além disso, eles não consideram os comportamentos e irregularidades do usuário exclusivos das configurações de domínio de cada organização.
Um modelo estatístico para detectar ataques de kerberoasting
Com essas limitações em mente, a equipe de pesquisa BeyondTrust procurou encontrar um método que melhorasse as capacidades de detecção de anomalias e reduzissem falsos positivos. Descobrimos que a modelagem estatística é o melhor método, no qual seria criado um modelo que poderia estimar a distribuição de probabilidade com base em padrões de dados contextuais. A capacidade de prever o comportamento normal do usuário seria a chave para sinalizar qualquer anormalidade.
Nossa equipe apresentou quatro restrições ao nosso modelo estatístico em potencial, com base na pesquisa de Kerberoasting existente [2, 3]:
Explicação: A capacidade de interpretar a saída em relação a uma medida reconhecida, normalizada e fácil de explicar e rastrear.
Incerteza: a capacidade de refletir o tamanho e a confiança da amostra nas estimativas, em oposição à saída, sendo um indicador binário simples.
Escalabilidade: a capacidade de limitar a quantidade de computação em nuvem e armazenamento de dados necessários para atualizar os parâmetros do modelo por execução.
Não estacionariedade: a capacidade de se adaptar às tendências ou outras mudanças de dados ao longo do tempo e incorporando essas mudanças em como as anomalias são definidas
A equipe de pesquisa BeyondTrust trabalhou para construir um modelo que Ali
Existe uma maneira melhor e mais precisa para as organizações modernas detectarem anomalias sutis no tráfego irregular de Kerberos? A equipe de pesquisa da BeyondTrust procurou responder a essa pergunta, combinando informações de pesquisa de segurança com estatísticas avançadas. Este artigo oferece uma visão de alto nível das forças motrizes por trás de nossa pesquisa e nosso processo de desenvolvimento e teste de uma nova estrutura estatística para melhorar a precisão da detecção de anomalias de Kerberos e reduzir os falsos positivos.
Uma introdução aos ataques de Kerberoasting
Os ataques de Kerberoasting aproveitam o Protocolo de Autenticação da Rede Kerberos nos ambientes do Windows Active Directory. O processo de autenticação Kerberos funciona da seguinte maneira:
1. AS-REQ: Um usuário efetua login e solicita um ticket bilhete (TGT).
2. AS-REP: O servidor de autenticação verifica as credenciais do usuário e emite um TGT.
3. TGS-REQ: Quando o usuário deseja solicitar acesso a um serviço, eles solicitam um ticket de concessão de ticket (TGS) usando o TGT recebido anteriormente. Esta ação é registrada como Evento Windows 4769 [1] no controlador de domínio.
4. TGS-REP: O TGS verifica a solicitação e emite um TGS, que é criptografado usando o hash de senha da conta de serviço associada ao serviço solicitado.
5. KRB-AP-REQ: Para o usuário autenticar contra um serviço usando o ticket TGS, eles o enviam para o servidor de aplicativos, que toma várias ações para verificar a legitimidade do usuário e permitir acesso ao serviço solicitado.
Os invasores pretendem explorar esse processo porque os tickets de serviço Kerberos são criptografados com o hash da senha da conta de serviço. Para aproveitar os ingressos para Kerberos, os invasores alavancam o LDAP (protocolo de acesso ao diretório leve) para consultar o diretório para quaisquer contas de anúncios que tenham nomes principais de serviço (SPNs) associados a eles. Um invasor solicitará os tickets de serviço de concessão de ingressos (TGS) para essas contas, que podem ser feitas sem nenhum direito administrativo. Depois de solicitarem esses tickets de serviço, eles podem quebrar o hash offline para descobrir as credenciais da conta de serviço. O acesso a uma conta de serviço pode então permitir que o invasor se mova lateralmente, escalie privilégios ou exfiltrar dados.
As deficiências dos métodos heurísticos típicos
Muitas organizações possuem métodos de detecção baseados em heurísticos para sinalizar o comportamento irregular de Kerberos. Um método comum é a detecção baseada em volume, que pode sinalizar um pico na atividade de solicitação do TGS de uma única conta. Se um invasor solicitar tickets do TGS para todos os nomes principais de serviço que eles podem encontrar usando o LDAP, esse método de detecção provavelmente identificará esse pico como atividade suspeita. Outro método, a análise do tipo criptografia, pode detectar se um invasor tenta fazer o downgrade da criptografia dos tickets TGS solicitados do AES padrão para um tipo mais fraco, como RC4 ou DES, na esperança de facilitar seu próprio trabalho quando começam a quebrar o hash.
Embora esses dois métodos estáticos baseados em regras possam funcionar em alguns casos, eles produzem um número notório de falsos positivos. Além disso, eles não consideram os comportamentos e irregularidades do usuário exclusivos das configurações de domínio de cada organização.
Um modelo estatístico para detectar ataques de kerberoasting
Com essas limitações em mente, a equipe de pesquisa BeyondTrust procurou encontrar um método que melhorasse as capacidades de detecção de anomalias e reduzissem falsos positivos. Descobrimos que a modelagem estatística é o melhor método, no qual seria criado um modelo que poderia estimar a distribuição de probabilidade com base em padrões de dados contextuais. A capacidade de prever o comportamento normal do usuário seria a chave para sinalizar qualquer anormalidade.
Nossa equipe apresentou quatro restrições ao nosso modelo estatístico em potencial, com base na pesquisa de Kerberoasting existente [2, 3]:
Explicação: A capacidade de interpretar a saída em relação a uma medida reconhecida, normalizada e fácil de explicar e rastrear.
Incerteza: a capacidade de refletir o tamanho e a confiança da amostra nas estimativas, em oposição à saída, sendo um indicador binário simples.
Escalabilidade: a capacidade de limitar a quantidade de computação em nuvem e armazenamento de dados necessários para atualizar os parâmetros do modelo por execução.
Não estacionariedade: a capacidade de se adaptar às tendências ou outras mudanças de dados ao longo do tempo e incorporando essas mudanças em como as anomalias são definidas
A equipe de pesquisa BeyondTrust trabalhou para construir um modelo que Ali
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #detecções #de #kerberoasting: #uma #nova #abordagem #para #um #desafio #de #uma #década
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário