Publicado: 13 de mayo de 2024
Colaborador: Matthew Kosinski
Kerberoasting es un ciberataque que explota el protocolo de autenticación Kerberos. Los actores de amenazas roban tickets de servicio Kerberos para descubrir las contraseñas en texto plano de las cuentas de servicio de red. Luego, los hackers toman el control de estas cuentas de servicio para robar datos, propagar malware y más.
El kerberoasting es cada vez más común. Los analistas de seguridad de X-Force de IBM observaron un aumento del 100 % en los incidentes de kerberoasting entre 2022 y 2023, según el X-Force Threat Intelligence Index. Este crecimiento forma parte de una tendencia generalizada de hackers que abusan de cuentas válidas para violar las redes. Las mejoras en la red y seguridad de los endpoints han hecho que sea mucho más difícil realizar ataques directos.
Algunos factores adicionales alimentan la popularidad de Kerberoasting. Muchos servicios de directorio y sistemas de computación en nube utilizan Kerberos, lo que significa que los hackers pueden aprovechar el protocolo para acceder a infraestructuras de red cruciales.
En particular, Kerberos es estándar en Microsoft Windows Active Directory, y muchos ataques Keberoasting se dirigen a dominios de Active Directory. Además, las cuentas de servicio creadas manualmente tienden a tener contraseñas débiles y privilegios altos, lo que las convierte en objetivos atractivos.
Los ataques de kerberoasting son difíciles de detectar porque se aprovechan del diseño previsto de Kerberos. La parte más sospechosa de un ataque de kerberoasting (descifrar los tickets robados) ocurre fuera de línea. Los profesionales de la ciberseguridad no pueden erradicar por completo la posibilidad de kerberoasting, pero pueden implementar defensas proactivas para mitigar la amenaza.
Obtenga información esencial para ayudar a sus equipos de seguridad y TI a gestionar mejor el riesgo y limitar las posibles pérdidas.
El kerberoasting suele ser un medio de escalada de privilegios más que una táctica inicial de intrusión. Después de que un hacker obtiene el control de una cuenta de usuario de dominio para ingresar a la red, usa Keberoasting para expandir su alcance.
La mayoría de los ataques de Kerberoasting siguen el mismo método básico:
- Un hacker utiliza una cuenta comprometida para obtener vales de servicio de Kerberos.
- El hacker lleva estos tickets a un ordenador que posee fuera de la red que está atacando.
- El hacker descifra los tickets y descubre las contraseñas de las cuentas de servicio que ejecutan los servicios asociados a cada ticket.
- El hacker se conecta a la red utilizando las credenciales de las cuentas de servicio, abusando de sus permisos para moverse por la red y causar daños.
Para entender por qué funciona el keberoasting, primero hay que entender los conceptos básicos de Kerberos.
Kerberos es un protocolo de autenticación que permite a los usuarios y servicios (como aplicaciones, bases de datos y servidores) autenticarse y comunicarse de forma segura dentro de Active Directory y otros dominios.
El proceso de autenticación de Kerberos utiliza un sistema de tickets. En el corazón de este sistema se encuentra el centro de distribución de claves (KDC), que opera en el controlador de dominio de la red.
El KDC es esencialmente el guardián del dominio. Autentica a los usuarios y servicios de la red y les emite tickets. Los tickets son credenciales que prueban la identidad de los usuarios y les permiten acceder a otros recursos de la red. Los usuarios y los servicios intercambian estos tickets para verificarse mutuamente.
Cuando un usuario inicia sesión en un dominio, primero se autentica con el KDC y recibe un ticket de concesión de tickets (TGT). Este TGT permite al usuario solicitar acceso a los servicios del dominio.
Cuando el usuario desea acceder a un servicio, envía una solicitud al servicio de concesión de tickets (TGS) del KDC. El TGT acompaña esta solicitud para dar fe de la identidad del usuario.
Como respuesta, el KDC emite un ticket de servicio, también llamado "ticket TGS", que se cifra utilizando la contraseña de la cuenta de servicio. Esto sucede para garantizar que solo el servicio de destino pueda validar la solicitud de acceso del usuario. El usuario presenta este ticket de servicio al servicio de destino, que autentica al usuario e inicia una sesión segura.
Hay algunos detalles del diseño de Kerberos que lo dejan abierto al kerberoasting.
En primer lugar, el KDC no comprueba si los usuarios están autorizados a acceder a un servicio. Cualquier usuario puede solicitar un ticket para cualquier servicio. Depende de los servicios individuales hacer cumplir los permisos y bloquear a los usuarios no autorizados. Por lo tanto, los hackers no necesitan apoderarse de las cuentas de los administradores de dominio u otros usuarios privilegiados. Cualquier cuenta comprometida funciona.
En segundo lugar, cada servicio de un dominio Kerberos debe estar asociado a una cuenta de servicio que sea responsable de ejecutar el servicio en el dominio. Las cuentas de servicio permiten a Kerberos autenticar servicios, emitir vales de servicio y aplicar controles de seguridad. Estas cuentas también dan un objetivo a los hackers, ya que tienden a tener privilegios importantes.
En tercer lugar, los tickets Kerberos se cifran utilizando como claves los hashes de las contraseñas de las cuentas asociadas. Es importante para el kerberoasting que los tickets de servicio utilicen los hashes de las contraseñas de las cuentas de servicio correspondientes.
Las contraseñas de cuenta son claves de cifrado simétricas convenientes porque solo el KDC y el servicio relacionado deben conocer esa contraseña. Sin embargo, dado que los tickets se cifran mediante hashes de contraseñas, los hackers pueden aplicar ingeniería inversa a las contraseñas de las cuentas de servicio descifrando el cifrado de un ticket.
Además, las cuentas de servicio configuradas manualmente a menudo tienen habilitada la opción "la contraseña nunca caduca". En redes antiguas, esto puede significar que las cuentas de servicio utilicen contraseñas muy antiguas que siguen pautas de seguridad obsoletas, lo que las hace fáciles de descifrar.
El primer paso en un típico ataque de kerberoasting es robar la cuenta de un usuario del dominio. Un hacker puede utilizar muchos métodos de ciberataque en esta fase, como phishing, keyloggers u otras técnicas. A continuación, el hacker puede utilizar esta cuenta para acceder al dominio de destino.
Cuando el hacker está en la red, busca cuentas de servicio. A menudo lo hacen buscando cuentas con Service Principal Names (SPN). Los SPN son identificadores únicos que vinculan los servicios a sus cuentas de servicio en un dominio Kerberos. Dado que solo las cuentas de servicio tienen este atributo, la enumeración de las cuentas con SPN es una forma práctica para que los hackers encuentren objetivos. Cada cuenta de dominio puede enumerar SPN de forma predeterminada.
Los hackers pueden usar comandos de PowerShell y consultas del Protocolo ligero de acceso a directorios (LDAP) para exponer cuentas con SPN. También pueden utilizar herramientas especializadas de hacking y pruebas de penetración . Por ejemplo, el kit de herramientas Impacket incluye un script llamado "GetUserSPNs.py" que genera una lista de cuentas de servicio en un dominio.
El hacker utiliza la cuenta de dominio secuestrada para solicitar tickets de servicio para sus servicios objetivo.
El hacker no utiliza estos tickets para acceder a esos servicios. Podrían, pero solo tendrían los permisos limitados de la probable cuenta de usuario robada de bajo nivel. En su lugar, el hackers saca estos tickets de la red y los lleva a un ordenador que controla.
El hacker descifra los tickets robados para recuperar las contraseñas de las cuentas de servicio.
Dado que los tickets usan las contraseñas de las cuentas de servicio como claves criptográficas, los hackers suelen usar ataques de fuerza bruta para este esfuerzo. Utilizan sistemáticamente diferentes contraseñas para generar claves de cifrado (“hashes”) que utilizan en el ticket robado. Si una clave de cifrado funciona, la contraseña que generó la clave es la contraseña de la cuenta de servicio.
Los hackers pueden acelerar el descifrado utilizando listas de palabras de contraseñas comunes. También utilizan varias herramientas para automatizar el proceso de craqueo. Algunas de las herramientas de kerberoasting más comunes incluyen:
Impacket: un conjunto de herramientas de Python diseñado para realizadores de pruebas de penetración. Incluye algunos guiones que pueden causar mucho daño en manos de un hacker.
Rubeus: un conjunto de herramientas diseñado para explotar Kerberos para pruebas de penetración. Como muchas herramientas de hacking ético, puede ser utilizada por hackers poco éticos con fines maliciosos.
John the Ripper y Hashcat: descifradores de contraseñas que pueden realizar ataques de fuerza bruta.
Mimikatz: ayuda a los hackers a extraer y descifrar tickets de Kerberos.
El descifrado de tickets es la mayor señal de alerta en el proceso de Kerberoasting, pero suele ocurrir fuera de la red de destino en un dispositivo que controlan los hackers. Las herramientas de seguridad de la organización no pueden detectarlo.
Con la contraseña de una cuenta de servicio, el hacker puede iniciar sesión en esa cuenta y usar sus permisos para acceder a recursos confidenciales, realizar movimientos laterales y mucho más.
Por ejemplo, si un hacker descifra la contraseña de la cuenta de servicio de un servidor SQL, podría obtener el control de las bases de datos alojadas en ese servidor.
Aunque Kerberoasting normalmente requiere una cuenta de usuario de dominio comprometida, el investigador de seguridad Charlie Clark descubrió una técnica de ataque que permite a los hackers robar tickets de servicio sin secuestrar una cuenta bajo las condiciones adecuadas.1
Recuerde que antes de que un usuario pueda recibir tickets de servicio, debe autenticarse en el KDC y obtener un TGT que le permita solicitar acceso al servicio. Al utilizar la herramienta de explotación de Kerberos Rubeus, Clark pudo modificar esta solicitud de autenticación inicial para que solicitara un ticket de servicio en lugar de un TGT. Funcionó y el KDC respondió con un ticket de servicio.
Este método tiene aplicaciones limitadas. Para que la técnica funcione, el hacker debe fingir que envía la solicitud de autenticación desde una cuenta que no requiere autenticación previa en Kerberos. Las cuentas que requieren autenticación previa, que es lo que hace la mayoría, necesitan credenciales de usuario incluso para enviar la solicitud de autenticación inicial que Clark modificó. Aun así, esta técnica abre una vía potencial para los atacantes.
Los hackers han utilizado técnicas de kerberoasting en algunos de los ciberataques más importantes de los últimos años.
En el ataque a SolarWinds de 2020, hackers estatales rusos propagaron malware disfrazándolo de actualización legítima de la plataforma de gestión de infraestructuras Orion de SolarWinds. Los hackers vulneraron varias empresas y agencias gubernamentales, incluidos los Departamentos de Estado y de Justicia de Estados Unidos. Según Mitre, los hackers utilizaron el kerberoasting para escalar sus privilegios en los sistemas comprometidos.2
Del mismo modo, los hackers asociados con el ransomware Akira a menudo usan el kerberoasting para expandir su alcance y mantener el acceso a las redes que violan. Hasta abril de 2024, Akira había afectado a 250 organizaciones de todo el mundo, extorsionando un total de 42 millones de dólares en pagos de rescates..3
Aunque los ataques con tickets dorado también tienen como objetivo los procesos de autenticación de Kerberos, son diferentes de los de Keberoasting.
En Kerberoasting, los hackers roban y descifran entradas para descubrir contraseñas y hacerse con las cuentas de servicio.
En un ataque con un ticket dorado, un hacker primero obtiene privilegios de administrador en un dominio. Esto les permite acceder a la contraseña de la cuenta krbtgt, que es la cuenta utilizada por el KDC para cifrar los TGT. El hacker utiliza estos privilegios para crear tickets Kerberos no autorizados que les permiten hacerse pasar por cualquier usuario y obtener acceso prácticamente sin restricciones a los recursos de la red.
Los ataques intrincados son difíciles de detectar porque los atacantes dedican gran parte del tiempo a hacerse pasar por cuentas legítimas. Sus solicitudes de tickets se mezclan con las reales y el descifrado de contraseñas ocurre fuera de la red.
Dicho esto, existen herramientas y prácticas que las organizaciones pueden utilizar para reducir las posibilidades de éxito de un ataque e interceptar mejor el kerberoasting en curso.
Debido a que los ataques de kerberoasting aprovechan el control de las cuentas de dominio, proteger estas cuentas con controles IAM mejorados puede ayudar a combatir algunas vulneraciones.
Las políticas y prácticas de contraseñas seguras, incluidas las soluciones centralizadas de administración de contraseñas, pueden dificultar que los hackers descifren las contraseñas. El marco MITRE ATT&CK, por ejemplo, recomienda que las contraseñas de las cuentas de servicio tengan al menos 25 caracteres, sean suficientemente complejas y se cambien periódicamente.4
En Active Directory, las organizaciones pueden usar cuentas de servicio administradas de grupo. Se trata de cuentas de servicio que generan, gestionan y cambian las contraseñas de forma automática y periódica, para que los administradores no tengan que gestionarlas manualmente.
La autenticación sólida, como la autenticación adaptativa o multifactor (MFA), también puede ayudar a proteger las cuentas de usuario contra robos. Dicho esto, a menudo resulta difícil e ineficaz utilizar la AMF para las cuentas de servicio.
Las herramientas de administración de acceso con privilegios pueden ayudar a proporcionar seguridad adicional para las credenciales de las cuentas con privilegios, como las cuentas de servicio de Kerberos y otros destinos muy valiosos.
Al limitar los privilegios de las cuentas de servicio a los permisos que necesitan, las organizaciones pueden minimizar el daño que los hackers pueden causar al comprometer esas cuentas.
Además, las cuentas de servicio se pueden limitar a inicios de sesión no interactivos y solo en servicios y sistemas específicos.
Las solicitudes de entradas malintencionadas suelen mezclarse con las legítimas, pero los hackers pueden dejar señales reveladoras. Por ejemplo, una cuenta que solicita muchos tickets para muchos servicios a la vez podría estar llevando a cabo un ataque de kerberoasting.
Los registros de eventos, como el Visor de eventos de Windows o un sistema de administración de eventos e información de seguridad (SIEM), pueden ayudar a los equipos de seguridad a detectar actividades sospechosas. Las herramientas que monitorizan a los usuarios, como una solución de análisis del comportamiento del usuario (UBA), pueden ayudar a detectar hackers que han secuestrado cuentas legítimas.
Los equipos de seguridad pueden detectar más actividad de amenazas alineando las herramientas de monitotización con sus sistemas de información. Por ejemplo, las herramientas se pueden configurar para que cualquier intento de una cuenta de servicio de iniciar sesión fuera de su ámbito predefinido active una alerta y sea necesario investigarlo.
Muchas instancias de Kerberos siguen siendo compatibles con el algoritmo de cifrado RC4. Sin embargo, los hackers pueden descifrar con relativa facilidad este antiguo estándar de cifrado.
Habilitar un tipo de cifrado más fuerte, como AES, puede hacer que a los hackers les resulte más difícil descifrar tickets.
Algunas organizaciones crean honeytokens, cuentas de dominio falsas destinadas a ser comprometidas. Cuando los hackers atacan un honeytoken, se genera automáticamente una alerta para que el equipo de seguridad pueda actuar.
Los honeytokens están diseñados para desviar la atención de las cuentas reales, a menudo aparentando tener credenciales débiles y privilegios elevados.
Descubra, controle, gestione y proteja las cuentas con privilegios en todos los terminales y entornos multinube híbridos
Añada contexto profundo, inteligencia y seguridad a las decisiones sobre qué usuarios deben tener acceso a los datos y aplicaciones de su organización, en las instalaciones o en la nube.
Gestión de identidades y accesos integral, segura y conforme a las normativas para la empresa moderna.
Aprenda de los retos y éxitos de los equipos de seguridad de todo el mundo, basándose en los conocimientos y observaciones obtenidos de la monitorización de más de 150 000 millones de eventos de seguridad al día en más de 130 países.
La orquestación de identidades es una solución de software para coordinar sistemas dispares de gestión de identidades y accesos (IAM) de múltiples proveedores de identidades en flujos de trabajo sin fricciones.
Cuanto más conozcan los equipos de seguridad y los empleados los distintos tipos de amenazas a la ciberseguridad, más eficazmente podrán prevenir, prepararse y responder a los ciberataques.
Notas a pie de página
Vínculos externos a ibm.com
1 Clark, Charlie. New Attack Paths? As Requested Service Tickets. Semperis. 27 de septiembre de 2022.
2 SolarWinds Compromise. MITRE ATT&CK. 14 de abril de 2023.
3 StopRansomware: Akira Ransomware. Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA). 18 de abril de 2024.
4 Steal or Forge Kerberos Tickets: Kerberoasting. MITRE ATT&CK. 30 de marzo de 2023.