Diterbitkan: 13 Mei 2024
Kontributor: Matthew Kosinski
Kerberoasting adalah serangan siber yang mengeksploitasi protokol otentikasi Kerberos. Pelaku ancaman mencuri tiket layanan Kerberos untuk mengungkap kata sandi plaintext dari akun layanan jaringan. Para peretas kemudian mengambil kendali akun layanan ini untuk mencuri data, menyebarkan malware , dan banyak lagi.
Kerberoasting kian marak terjadi. Analis keamanan X-Force dari IBM melihat adanya peningkatan 100% dalam insiden Kerberoasting antara tahun 2022 dan 2023, menurut X-Force Threat Intelligence. Pertumbuhan ini merupakan bagian dari tren luas peretas yang menyalahgunakan akun yang valid untuk menembus jaringan. Peningkatan keamanan jaringan dan titik akhir telah membuat serangan langsung jauh lebih sulit dilakukan.
Beberapa faktor tambahan memicu popularitas Kerberoasting. Banyak layanan direktori dan sistem komputasi awan menggunakan Kerberos, yang berarti peretas dapat memanfaatkan protokol ini untuk mendapatkan akses ke infrastruktur jaringan yang penting.
Secara khusus, Kerberos adalah standar di Microsoft Windows Active Directory, dan banyak serangan Keberoasting yang menargetkan domain Active Directory. Ditambah lagi, akun layanan yang dibuat secara manual cenderung memiliki kata sandi yang lemah dan hak istimewa yang tinggi, menjadikannya target yang menarik.
Serangan Kerberoasting sulit dideteksi karena memanfaatkan desain yang dimaksudkan Kerberos. Bagian paling mencurigakan dari serangan Kerberoasting, yaitu mendekripsi tiket curian, terjadi secara offline. Tenaga profesional keamanan siber tidak dapat sepenuhnya menghilangkan kemungkinan Kerberoasting, tetapi mereka dapat menerapkan pertahanan proaktif untuk mengurangi ancaman.
Dapatkan wawasan penting untuk membantu tim keamanan dan TI Anda mengelola risiko dengan lebih baik dan membatasi potensi kerugian.
Kerberoasting biasanya merupakan sarana eskalasi hak istimewa daripada taktik pembobolan awal. Setelah peretas mendapatkan kendali atas akun pengguna domain untuk masuk ke dalam jaringan, mereka menggunakan Keberoasting untuk memperluas jangkauannya.
Sebagian besar serangan Kerberoasting mengikuti metode dasar yang sama:
- Seorang peretas menggunakan akun yang disusupi untuk mendapatkan tiket layanan Kerberos.
- Peretas membawa tiket ini ke komputer yang mereka miliki di luar jaringan yang mereka serang.
- Peretas mendekripsi tiket dan mengungkap kata sandi akun layanan yang menjalankan layanan yang terkait dengan setiap tiket.
- Peretas masuk ke jaringan menggunakan kredensial akun layanan, menyalahgunakan izin mereka untuk bergerak melalui jaringan dan menyebabkan kerusakan.
Untuk memahami bagaimana Keberoasting bekerja, seseorang harus terlebih dahulu memahami dasar-dasar Kerberos.
Kerberos adalah protokol autentikasi yang memungkinkan pengguna dan layanan (seperti aplikasi, basis data, dan server) mengautentikasi dan berkomunikasi dengan aman di dalam Active Directory dan domain lainnya.
Proses otentikasi Kerberos menggunakan sistem tiket. Inti dari sistem ini adalah pusat distribusi kunci (KDC), yang beroperasi pada pengontrol domain jaringan.
KDC pada dasarnya adalah penjaga gerbang domain. Ini mengotentikasi pengguna dan layanan di jaringan dan mengeluarkan tiket mereka. Tiket adalah kredenSIAL yang membuktikan identitas pengguna dan memungkinkan mereka mengakses sumber daya lain di jaringan. Pengguna dan layanan menukar tiket ini untuk memverifikasi diri satu sama lain.
Ketika pengguna masuk ke domain, mereka terlebih dahulu melakukan otentikasi dengan KDC dan menerima tiket pemberian tiket (TGT). TGT ini memungkinkan pengguna untuk meminta akses ke layanan domain.
Ketika pengguna ingin mengakses layanan, mereka mengirim permintaan ke layanan pemberian tiket (TGS) KDC. TGT menyertai permintaan ini untuk menjamin identitas pengguna.
Sebagai tanggapan, KDC mengeluarkan tiket layanan, yang juga disebut “tiket TGS”, yang dienkripsi menggunakan kata sandi akun layanan. Ini terjadi untuk memastikan bahwa hanya layanan target yang dapat memvalidasi permintaan akses pengguna. Pengguna menunjukkan tiket layanan ini ke layanan target, yang mengautentikasi pengguna dan memulai sesi yang aman.
Ada beberapa detail desain Kerberos yang membuatnya terbuka untuk Kerberoasting.
Pertama, KDC tidak memeriksa apakah pengguna memiliki izin untuk mengakses suatu layanan. Setiap pengguna dapat meminta tiket untuk layanan apa pun. Terserah pada masing-masing layanan untuk menegakkan izin dan memblokir pengguna yang tidak sah. Oleh karena itu, peretas tidak perlu menyita akun admin domain atau pengguna istimewa lainnya. Akun apa pun yang disusupi dapat berfungsi.
Kedua, setiap layanan dalam domain Kerberos harus dikaitkan dengan akun layanan yang bertanggung jawab untuk menjalankan layanan pada domain tersebut. Akun layanan memungkinkan Kerberos untuk mengotentikasi layanan, mengeluarkan tiket layanan, dan menegakkan kontrol keamanan. Akun ini juga memberi target peretas, karena mereka cenderung memiliki hak istimewa yang tinggi.
Ketiga, tiket Kerberos dienkripsi, menggunakan hash kata sandi akun terkait sebagai kunci. Penting untuk Kerberoasting, tiket layanan menggunakan hash kata sandi dari akun layanan yang relevan.
Kata sandi akun adalah kunci enkripsi simetris yang mudah digunakan karena hanya KDC dan layanan terkait yang mengetahui kata sandi tersebut. Namun, karena tiket dienkripsi menggunakan hash kata sandi, peretas dapat merekayasa balik kata sandi akun layanan dengan memecahkan enkripsi tiket.
Selain itu, akun layanan yang dikonfigurasi secara manual sering kali mengaktifkan penandaan “kata sandi tidak pernah kedaluwarsa”. Pada jaringan yang sudah lama berdiri, ini bisa berarti akun layanan menggunakan kata sandi yang sangat lama yang mengikuti pedoman keamanan yang sudah ketinggalan zaman, sehingga mudah dibobol.
Langkah pertama dalam serangan Kerberoasting yang khas adalah mencuri akun pengguna domain. Seorang peretas dapat menggunakan banyak metode serangan siber pada tahap ini, seperti phishing, keylogger, atau teknik lainnya. Peretas kemudian dapat menggunakan akun ini untuk mengakses domain target.
Ketika peretas berada di jaringan, mereka mencari akun layanan. Mereka sering melakukan ini dengan mencari akun dengan Nama Utama Layanan (SPN). SPN adalah pengidentifikasi unik yang mengikat layanan ke akun layanan mereka di domain Kerberos. Karena hanya akun layanan yang memiliki atribut ini, pencacahan akun dengan SPN merupakan cara yang praktis bagi peretas untuk menemukan target. Setiap akun domain dapat menghitung SPN secara default.
Peretas dapat menggunakan perintah PowerShell dan kueri Protokol Akses Direktori Ringan (LDAP) untuk memunculkan akun dengan SPN. Mereka juga dapat menggunakan alat peretasan dan pengujian penetrasi khusus. Sebagai contoh, toolkit Impacket menyertakan skrip bernama “GetUserSPNs.py” yang menghasilkan daftar akun layanan dalam sebuah domain.
Peretas menggunakan akun domain yang dibajak untuk meminta tiket layanan untuk layanan yang ditargetkan.
Peretas tidak menggunakan tiket ini untuk mengakses layanan tersebut. Mereka bisa, tetapi mereka hanya akan memiliki izin terbatas dari kemungkinan akun pengguna tingkat rendah yang dicuri. Sebagai gantinya, peretas mengambil tiket ini dari jaringan ke komputer yang mereka kendalikan.
Peretas mendekripsi tiket yang dicuri untuk mengambil kata sandi akun layanan.
Karena tiket menggunakan kata sandi akun layanan sebagai kunci kriptografi, peretas biasanya menggunakan serangan brute force untuk upaya ini. Mereka secara sistematis menggunakan kata sandi yang berbeda untuk menghasilkan kunci enkripsi (“hash”) yang mereka gunakan pada tiket yang dicuri. Jika kunci enkripsi berfungsi, maka kata sandi yang menghasilkan kunci tersebut adalah kata sandi akun layanan.
Peretas dapat mempercepat dekripsi dengan menggunakan daftar kata sandi umum. Mereka juga menggunakan berbagai alat untuk mengotomatiskan proses pemecahan sandi. Beberapa alat Kerberoasting yang paling umum meliputi:
Impacket: Toolkit Python yang didesain untuk penguji pena. Ini termasuk beberapa skrip yang dapat melakukan kerusakan besar di tangan peretas.
Rubeus: Perangkat yang dirancang untuk mengeksploitasi Kerberos untuk pengujian penetrasi. Seperti banyak alat peretasan etis, alat ini dapat digunakan oleh peretas yang tidak etis untuk tujuan jahat.
John the Ripper dan Hashcat: Pembobol kata sandi yang dapat menjalankan serangan brute force.
Mimikatz: Membantu peretas mengekstrak dan memecahkan tiket Kerberos.
Cracking tiket adalah tanda bahaya terbesar dalam proses Kerberoasting, tetapi biasanya terjadi di luar jaringan target pada perangkat yang dikendalikan peretas. Alat keamanan organisasi tidak dapat mendeteksinya.
Berbekal kata sandi akun layanan, peretas dapat masuk ke akun tersebut dan menggunakan izinnya untuk mengakses sumber daya sensitif, melakukan gerakan lateral, dan banyak lagi.
Sebagai contoh, jika seorang peretas membobol kata sandi akun layanan server SQL, mereka dapat memperoleh kendali atas basis data yang di-host di server tersebut.
Meskipun Kerberoasting biasanya membutuhkan akun pengguna domain yang disusupi, peneliti keamanan Charlie Clark menemukan teknik serangan yang memungkinkan peretas mencuri tiket layanan tanpa membajak akun dalam kondisi yang tepat.1
Ingatlah bahwa sebelum pengguna dapat menerima tiket layanan, mereka harus mengautentikasi dengan KDC dan mendapatkan TGT yang memungkinkan mereka untuk meminta akses layanan. Dengan menggunakan alat eksploitasi Kerberos, Rubeus, Clark dapat memodifikasi permintaan otentikasi awal ini sehingga meminta tiket layanan dan bukan TGT. Itu berhasil, dan KDC menanggapi dengan tiket layanan.
Metode ini memang memiliki aplikasi terbatas. Agar teknik ini berhasil, peretas harus berpura-pura mengirim permintaan autentikasi dari akun yang tidak memerlukan autentikasi awal di Kerberos. Akun yang memerlukan autentikasi awal, yang sebagian besar memerlukannya, memerlukan kredensial pengguna bahkan untuk mengirimkan permintaan autentikasi awal yang dimodifikasi oleh Clark. Namun, teknik ini membuka jalan potensial bagi penyerang.
Peretas telah menggunakan teknik Kerberoasting dalam beberapa serangan cyber paling signifikan dalam beberapa tahun terakhir.
Dalam serangan SolarWinds tahun 2020, peretas negara Rusia menyebarkan malware dengan menyamarkannya sebagai pembaruan yang sah untuk platform manajemen infrastruktur Orion milik SolarWinds. Para peretas menerobos beberapa perusahaan dan lembaga pemerintah, termasuk Departemen Luar Negeri dan Kehakiman AS. Menurut Mitre, para peretas menggunakan Kerberoasting untuk meningkatkan hak istimewa mereka dalam sistem yang disusupi.2
Demikian juga, peretas yang terkait dengan ransomware Akira sering menggunakan Kerberoasting untuk memperluas jangkauan mereka dan mempertahankan akses ke jaringan yang mereka bobol. Hingga April 2024, Akira telah menyerang 250 organisasi di seluruh dunia, memeras total 42 juta USD dalam bentuk uang tebusan.3
Sementara serangan golden ticket juga menargetkan proses otentikasi Kerberos, mereka berbeda dari Keberoasting.
Di Kerberoasting, peretas mencuri dan memecahkan tiket untuk mengungkap kata sandi dan mengambil alih akun layanan.
Dalam serangan tiket emas, seorang peretas pertama-tama mendapatkan hak istimewa tingkat administrator di sebuah domain. Hal ini memungkinkan mereka untuk mengakses kata sandi akun krbtgt, yang merupakan akun yang digunakan oleh KDC untuk mengenkripsi TGT. Peretas menggunakan hak istimewa ini untuk membuat tiket Kerberos nakal yang memungkinkan mereka berpura-pura menjadi pengguna mana pun dan mendapatkan akses yang hampir tidak terbatas ke sumber daya jaringan.
Serangan kerberoasting sulit dikenali karena para penyerang menghabiskan sebagian besar waktu mereka untuk menyamar sebagai akun yang sah. Permintaan tiket mereka berbaur dengan yang asli, dan pemecahan kata sandi yang sebenarnya terjadi di luar jaringan.
Meskipun demikian, ada alat dan praktik yang dapat digunakan organisasi untuk mengurangi kemungkinan serangan yang berhasil dan lebih baik mencegat Kerberoasting yang sedang berlangsung.
Karena serangan Kerberoasting menguasai akun domain, melindungi akun ini dengan kontrol IAM yang ditingkatkan dapat membantu menggagalkan beberapa pelanggaran.
Kebijakan dan praktik kata sandi yang kuat, termasuk solusi manajemen kata sandi terpusat, dapat mempersulit peretas untuk memecahkan kata sandi. Kerangka kerja MITRE ATT& CK, misalnya, merekomendasikan agar kata sandi akun layanan setidaknya terdiri dari 25 karakter, cukup kompleks dan diubah secara teratur.4
Di Active Directory, organisasi dapat menggunakan Akun Layanan Terkelola Grup. Ini adalah akun layanan yang secara otomatis membuat, mengelola, dan mengubah kata sandi secara teratur, sehingga admin tidak perlu mengelola kata sandi secara manual.
Autentikasi yang kuat, seperti autentikasi adaptif atau multifaktor (MFA), juga dapat membantu melindungi akun pengguna dari pencurian. Meskipun demikian, seringkali menantang dan tidak efisien untuk menggunakan MFA untuk akun layanan.
Alat manajemen akses istimewa dapat membantu memberikan keamanan ekstra untuk kredensial akun-akun istimewa, seperti akun layanan Kerberos dan target-target lain yang sangat berharga.
Dengan membatasi hak istimewa akun layanan pada izin yang mereka perlukan, organisasi dapat meminimalkan kerusakan yang dapat dilakukan peretas dengan mengkompromikan akun-akun tersebut.
Selain itu, akun layanan dapat dibatasi untuk login noninteraktif dan hanya pada layanan dan sistem tertentu.
Permintaan tiket berbahaya sering berbaur dengan yang sah, tetapi peretas mungkin meninggalkan tanda-tanda yang jelas. Sebagai contoh, sebuah akun yang meminta banyak tiket untuk banyak layanan sekaligus mungkin melakukan serangan Kerberoasting.
Log peristiwa seperti Windows Event Viewer atau sistem informasi keamanan dan manajemen peristiwa (SIEM) dapat membantu tim keamanan mendeteksi aktivitas mencurigakan. Alat yang memantau pengguna, seperti solusi analisis perilaku pengguna (UBA), dapat membantu mendeteksi peretas yang telah membajak akun sah.
Tim keamanan dapat menangkap lebih banyak aktivitas ancaman dengan menyelaraskan alat pemantauan ke sistem informasi mereka. Misalnya, alat dapat dikonfigurasi sehingga setiap upaya oleh akun layanan untuk masuk di luar cakupan yang telah ditentukan memicu peringatan dan memerlukan penyelidikan.
Banyak contoh Kerberos masih mendukung algoritma enkripsi RC4. Namun, standar enkripsi lama ini relatif mudah dipecahkan oleh peretas.
Mengaktifkan jenis enkripsi yang lebih kuat, seperti AES, dapat mempersulit peretas untuk memecahkan tiket.
Beberapa organisasi membuat honeytoken, akun domain palsu yang dimaksudkan untuk dikompromikan. Ketika peretas menyerang honeytoken, peringatan secara otomatis dinaikkan sehingga tim keamanan dapat bertindak.
Honeytokens dirancang untuk mengalihkan perhatian dari akun asli, sering kali dengan terlihat memiliki kredensial yang lemah dan hak istimewa yang tinggi.
Temukan, kendalikan, kelola, dan lindungi akun dengan hak istimewa di seluruh titik akhir dan lingkungan hybrid multicloud.
Memanfaatkan konteks mendalam, kecerdasan, dan keamanan guna memutuskan pengguna mana yang berhak mengakses data dan aplikasi organisasi Anda, baik secara on premises maupun di cloud.
Manajemen Identitas dan Akses yang komprehensif, aman dan patuh untuk perusahaan modern
Belajar dari tantangan dan keberhasilan tim keamanan di seluruh dunia, berdasarkan insight dan pengamatan yang diperoleh dari pemantauan lebih dari 150 miliar peristiwa keamanan per hari di lebih dari 130 negara.
Identity orchestration adalah solusi peranti lunak untuk mengoordinasikan sistem manajemen identitas dan akses (IAM) yang berbeda dari beberapa penyedia identitas ke dalam alur kerja yang lancar.
Makin banyak yang diketahui tim keamanan dan karyawan tentang berbagai jenis ancaman keamanan siber, makin efektif upaya mereka untuk mencegah, mempersiapkan diri, dan merespons serangan siber.
Catatan kaki
Semua tautan berada di luar ibm.com
1 Clark, Charlie. New Attack Paths? As Requested Service Tickets. Semperis. 27 September 2022.
2 SolarWinds Compromise. MITRE ATT&CK. 14 April 2023.
3 StopRansomware: Akira Ransomware. Badan Keamanan Siber dan Infrastruktur (CISA). 18 April 2024.
4 Steal or Forge Kerberos Tickets: Kerberoasting. MITRE ATT&CK. 30 Maret 2023.