ما هجوم Kerberoasting؟

تاريخ النشر: 13 مايو 2024
المساهم: ماثيو كوسينسكي

هجوم Kerberoasting هو هجوم إلكتروني يستغل بروتوكول مصادقة Kerberos. وتسرق الجهات المُهددة تذاكر خدمة Kerberos للكشف عن كلمات مرور النص العادي لحسابات الخدمة الشبكية. ثم يتحكم المخترقون في حسابات الخدمة هذه لسرقة البيانات ونشر البرامج الضارة وغير ذلك.

أصبح هجوم Kerberoasting أكثر شيوعًا. وقد لاحظ محللو أمن X-Force®‎ لدى IBM زيادة حوادث Kerberoasting بنسبة 100% بين عامي 2022 و2023 وفقًا لمؤشر X-Force® Threat Intelligence. ويشكل هذا النمو جزءًا من الاتجاه العام للمخترقين نحو إساءة استخدام الحسابات الصالحة لاختراق الشبكات. وقد أدت التحسينات في أمن الشبكات وأمن نقاط النهاية إلى صعوبة تنفيذ الهجمات المباشرة.

هناك بعض العوامل الإضافية التي تزيد من شعبية هجمات Kerberoasting. ويستخدم العديد من خدمات الدليل وأنظمة الحوسبة السحابية بروتوكول Kerberos، ما يعني أنه يمكن للمخترقين الاستفادة من البروتوكول للوصول إلى البنية الأساسية الحساسة للشبكة. 

على وجه الخصوص، يمثل بروتوكول Kerberos المعيار في Microsoft Windows Active Directory، وتستهدف العديد من هجمات Keberoasting نطاقات Active Directory. بالإضافة إلى ذلك، تميل حسابات الخدمة المنشأة يدويًا إلى أن تكون ذات كلمات مرور ضعيفة وامتيازات عالية، ما يجعلها أهدافًا جذابة.  

يصعب اكتشاف هجمات Kerberoasting لأنها تستفيد من تصميم Kerberos المقصود. ولكن الجزء الأكثر إثارة للريبة في هجوم Kerberoasting—أي فك تشفير التذاكر المسروقة—يحدث في وضع عدم الاتصال. لذا لا يستطيع متخصصو الأمن الإلكتروني القضاء تمامًا على احتمالية وقوع هجمات Kerberoasting، ولكن يمكنهم نشر دفاعات استباقية للتخفيف من حدة التهديد.

تقرير تكلفة خرق البيانات

احصل على معارف أساسية لمساعدة فِرق الأمن وتكنولوجيا المعلومات في مؤسستك على إدارة المخاطر وتقليل الخسائر المحتملة بأفضل شكل ممكن.

تعرف على كيفية مساعدة IBM Verify على حماية الحسابات من السرقة وإساءة الاستخدام باستخدام السياق العميق والذكاء

كيف يعمل هجوم Kerberoasting؟

عادةً ما يكون هجوم Kerberoasting وسيلة لتصعيد الامتيازات وليس أسلوبًا أوليًا للاختراق. وبعد أن يستطيع المخترق أن يتحكم في حساب مستخدم النطاق للدخول إلى الشبكة، يمكنه أن يستخدم هجوم Kerberoasting لتوسيع نطاق وصوله. 

تتبع معظم هجمات Kerberoasting الطريقة الأساسية نفسها:

يستخدم المخترق حسابًا مخترقًا للحصول على تذاكر خدمة Kerberos.
يأخذ المخترق هذه التذاكر إلى جهاز كمبيوتر لديه خارج نطاق الشبكة التي يهاجمها. 
يفك المخترق تشفير التذاكر ويكشف عن كلمات مرور حسابات الخدمة التي تدير الخدمات المرتبطة بكل تذكرة.
يسجل المخترق الدخول إلى الشبكة باستخدام بيانات اعتماد حسابات الخدمة، ويسيء استخدام أذوناتها للتنقل عبر الشبكة وإحداث ضرر.

لماذا يعمل هجوم Kerberoasting؟

لفهم سبب عمل هجوم Kerberoasting، يجب أولاً فهم أساسيات Kerberos.

Kerberos هو بروتوكول مصادقة يتيح للمستخدمين والخدمات (مثل التطبيقات وقواعد البيانات والخوادم) المصادقة والاتصال بأمان داخل Active Directory والنطاقات الأخرى.

تستخدم عملية مصادقة Kerberos نظام التذاكر. ويوجد في جوهر هذا النظام مركز التوزيع الرئيسي (KDC) الذي يعمل في وحدة التحكم في نطاق الشبكة. 

مركز التوزيع الرئيسي هو في الأساس برنامج حماية بوابة النطاق. ويتحقق من المستخدمين والخدمات على الشبكة ويصدر لهم التذاكر. والتذاكر هي بيانات اعتماد تُثبت هويات المستخدمين وتسمح لهم بالوصول إلى الموارد الأخرى على الشبكة. ويتبادل المستخدمون والخدمات هذه التذاكر لإثبات هوياتهم لبعضهم.

عندما يسجل المستخدم الدخول إلى نطاق، يقوم أولاً بالمصادقة مع مركز التوزيع الرئيسي ويتلقى تذكرة منح التذاكر (TGT). وتتيح تذكرة منح التذاكر للمستخدم إمكانية طلب الوصول إلى خدمات النطاق. 

عندما يرغب المستخدم في الوصول إلى خدمة، يرسل طلبًا إلى خدمة منح التذاكر (TGS) التابعة لمركز التوزيع الرئيسي. وترافق خدمة منح التذاكر هذا الطلب للتأكيد على هوية المستخدم.

وفي المقابل، يصدر مركز التوزيع الرئيسي تذكرة خدمة، وتسمى أيضًا "تذكرة خدمة منح التذاكر"، تُشفَّر باستخدام كلمة مرور حساب الخدمة. ويهدف هذا إلى التأكد من أن الخدمة المستهدفة فقط هي التي يمكنها التحقق من صحة طلب وصول المستخدم. يقدم المستخدم تذكرة الخدمة هذه إلى الخدمة المستهدفة، والتي تصادق على المستخدم وتبدأ جلسة آمنة. 

هناك بعض التفاصيل في تصميم Kerberos تجعله عرضة لهجوم Kerberoasting. 

أولاً، لا يتحقق مركز التوزيع الرئيسي مما إذا كان المستخدمون مخولين بالوصول إلى الخدمة. ويمكن لأي مستخدم طلب تذكرة لأي خدمة. ويتعين على الخدمات الفردية فرض الأذونات وحظر المستخدمين غير المصرح لهم. لذلك، لا يحتاج المخترقون إلى الاستيلاء على حسابات مسؤولي النطاقات أو المستخدمين المتميزين الآخرين. ويمكنهم استخدام أي حساب مخترق.

ثانيًا، يجب أن تقترن كل خدمة في نطاق Kerberos بحساب خدمة مسؤول عن تشغيلها على النطاق. وتمكّن حسابات الخدمة بروتوكول Kerberos من مصادقة الخدمات وإصدار تذاكر الخدمة وفرض الضوابط الأمنية. وتمنح هذه الحسابات أيضًا المخترقين هدفًا، لأنها عادة ما تكون ذات امتيازات عالية. 

ثالثًا، تُشفَّر تذاكر Kerberos باستخدام تجزئات كلمات المرور الخاصة بالحسابات المرتبطة كمفاتيح. والأهم من ذلك بالنسبة إلى هجوم Kerberoasting هو أن تستخدم تذاكر الخدمة تجزئات كلمات المرور الخاصة بحسابات الخدمة ذات الصلة. 

كلمات مرور الحساب هي مفاتيح تشفير متماثلة ملائمة لأن مركز التوزيع الرئيسي والخدمة ذات الصلة فقط هما فقط اللذان يجب أن يعرفا كلمة المرور. ولكن نظرًا إلى أن التذاكر مشفرة باستخدام تجزئات كلمات المرور، يمكن للمخترقين إجراء هندسة عكسية لكلمات مرور حساب الخدمة عن طريق اختراق تشفير التذكرة. 

بالإضافة إلى ذلك، غالبًا ما يتم تمكين علامة "كلمة المرور لا تنتهي صلاحيتها أبدًا" في حسابات الخدمة التي تُكوَّن يدويًا. في الشبكات طويلة الأمد، قد يعني هذا أن حسابات الخدمة تستخدم كلمات مرور قديمة جدًا تتبع إرشادات الأمان القديمة، ما يسهل اختراقها.

عملية هجوم Kerberoasting

1. اختطاف حساب المستخدم

تتمثل الخطوة الأولى في هجوم Kerberoasting النموذجي في سرقة حساب مستخدم النطاق. ويمكن للمخترق استخدام العديد من طرق الهجوم الإلكتروني في هذه المرحلة، مثل التصيد الاحتيالي أو برامج keyloggers الضارة أو التقنيات الأخرى. ويمكن للمخترق بعد ذلك استخدام هذا الحساب للوصول إلى النطاق المستهدف.

تعرف على كيفية مساعدة خدمات إدارة الهوية والوصول من IBM على حماية الحسابات الرئيسية من التهديدات

2. تحديد الأهداف

يبحث المخترق عن حسابات الخدمة عندما يكون موجودًا في الشبكة. وغالبًا ما يفعل ذلك من خلال البحث عن الحسابات ذات الأسماء الرئيسية للخدمة (SPNs). والأسماء الرئيسية للخدمة هي معرفات فريدة تربط الخدمات بحسابات الخدمة الخاصة بها في نطاق Kerberos. ونظرًا إلى أن حسابات الخدمة فقط هي التي لديها هذه السمة، يُعد تعداد الحسابات التي تحتوي على الأسماء الرئيسية للخدمة طريقة سهلة للمخترقين للعثور على الأهداف. يمكن لكل حساب نطاق أن يقوم بتعداد الأسماء الرئيسية للخدمة بشكل افتراضي.

يمكن للمخترقين استخدام أوامر PowerShell واستعلامات بروتوكول الوصول الخفيف إلى الدليل (LDAP) لعرض الحسابات باستخدام الأسماء الرئيسية للخدمة. ويمكنهم أيضًا استخدام أدوات اختبار القرصنة والاختراق المتخصصة. على سبيل المثال، تتضمن مجموعة أدوات Impacket برنامجًا نصيًا يسمى "GetUserSPNs.py" يقوم بإنشاء قائمة بحسابات الخدمة في النطاق.

3. سرقة التذاكر

يستخدم المخترق حساب النطاق المخترق لطلب تذاكر الخدمة لخدماته المستهدفة.

لا يستخدم المخترق هذه التذاكر للوصول إلى تلك الخدمات. يمكنه أن يفعل ذلك، ولكن ستكون لديه فقط أذونات محدودة لحساب المستخدم المسروق الذي من المحتمل أن يكون منخفض المستوى. بدلاً من ذلك، يُخرج المخترق هذه التذاكر من الشبكة إلى جهاز كمبيوتر يتحكم فيه.

4. اختراق كلمة المرور

يفك المخترق تشفير التذاكر المسروقة لاسترداد كلمات مرور حسابات الخدمة.

ونظرًا إلى أن التذاكر تستخدم كلمات المرور الخاصة بحسابات الخدمة كمفاتيح تشفير، يستخدم المخترقون عادة هجمات القوة الغاشمة لتحقيق هذا الهدف. فهم يستخدمون كلمات مرور مختلفة بشكل منهجي لإنشاء مفاتيح تشفير ("تجزئات") يستخدمونها على التذكرة المسروقة. وإذا كان مفتاح التشفير مناسبًا، فإن كلمة المرور التي أنشأت المفتاح هي كلمة مرور حساب الخدمة.

يمكن للمخترقين تسريع فك التشفير باستخدام قوائم كلمات المرور الشائعة. ويستخدمون أيضًا أدوات مختلفة لأتمتة عملية الاختراق. تتضمن بعض أدوات هجوم Kerberoasting الأكثر شيوعًا ما يأتي:

Impacket: مجموعة أدوات Python مصممة لمختبري الاختراق. وتتضمن بعض النصوص البرمجية التي يمكن أن تلحق ضررًا حقيقيًا إذا وقعت في أيدي المخترقين.
Rubeus: مجموعة أدوات مصممة لاستغلال بروتوكول Kerberos لاختبار الاختراق. ويمكن للمخترقين غير الأخلاقيين استخدامها لأغراض ضارة على غرار العديد من أدوات الاختراق الأخلاقية.
John the Ripper وHashcat: برامج اختراق كلمات المرور التي يمكنها تنفيذ هجمات القوة الغاشمة.
Mimikatz: برنامج يساعد المخترقين على استخراج تذاكر Kerberos واختراقها.

يُعد اختراق التذاكر أكبر إشارة تحذيرية في عملية هجوم Kerberoasting، ولكنه يحدث عادة خارج نطاق الشبكة المستهدفة على جهاز يتحكم فيه المخترقون. ولا يمكن لأدوات الأمن الخاصة بالمؤسسة اكتشافه. 

5. استخدام كلمة المرور

باستخدام كلمة مرور حساب الخدمة، يمكن للمخترق تسجيل الدخول إلى هذا الحساب واستخدام أذوناته للوصول إلى الموارد الحساسة وإجراء حركات جانبية وغير ذلك المزيد.

على سبيل المثال، إذا اخترق أحد المخترقين كلمة مرور حساب خدمة SQL Server، فيمكنه التحكم في قواعد البيانات المستضافة على هذا الخادم. 

شن هجوم Kerberoasting من دون بيانات اعتماد حساب مسروقة

في حين أن هجوم Kerberoasting يتطلب عادةً حساب مستخدم النطاق المخترق، اكتشف الباحث الأمني تشارلي كلارك تقنية هجوم تتيح للمخترقين سرقة تذاكر الخدمة من دون سرقة الحساب في ظل الظروف الصحيحة.¹

تذكر أنه قبل أن يتمكن المستخدم من تلقي تذاكر الخدمة، يجب عليه المصادقة مع مركز التوزيع الرئيسي والحصول على تذكرة منح التذاكر التي تسمح له بطلب الوصول إلى الخدمة. باستخدام أداة استغلال Kerberos التي تدعى Rubeus، تمكن كلارك من تعديل طلب المصادقة الأولي هذا بحيث يطلب تذكرة خدمة بدلاً من تذكرة منح تذاكر. وقد كان الأمر مجديًا، واستجاب مركز التوزيع الرئيسي بتقديم تذكرة خدمة.

لهذه الطريقة تطبيقات محدودة. ولكي تعمل هذه التقنية، يجب على المخترق التظاهر بإرسال طلب المصادقة من حساب لا يتطلب مصادقة مسبقة في Kerberos. تحتاج الحسابات التي تتطلب مصادقة مسبقة - كما هو حال معظمها- إلى بيانات اعتماد المستخدم لإرسال طلب المصادقة الأولي الذي قام كلارك بتعديله. ومع ذلك، فإن هذه التقنية تفتح طريقًا محتملاً للمهاجمين. 

أمثلة على هجوم Kerberoasting

استخدم المخترقون تقنيات Kerberoasting في بعض أهم الهجمات الإلكترونية في السنوات القليلة الماضية.

في هجوم SolarWinds لعام 2020، نشر مخترقو الدولة الروسية برامج ضارة من خلال دمجها في صورة تحديث شرعي لمنصة إدارة البنية الأساسية لدى SolarWinds's Orion. اخترق المخترقون العديد من الشركات والوكالات الحكومية، بما في ذلك وزارتا الخارجية والعدل الأمريكيتان. ووفقًا لشركة Mitre، استخدم المخترقون هجوم Kerberoasting لتصعيد امتيازاتهم في الأنظمة المخترقة.²

وبالمثل، غالبًا ما يستخدم المخترقون المرتبطون ببرامج الفدية الضار Akira، هجوم Kerberoasting لتوسيع نطاق وصولهم والحفاظ على الوصول إلى الشبكات التي يخترقونها. وبدءًا من إبريل 2024، ضرب برنامج Akira 250 مؤسسة في جميع أنحاء العالم، وابتز ما مجموعه 42 مليون دولار أمريكي من مدفوعات الفدية.³

هجمات Kerberoasting مقابل هجمات التذاكر الذهبية

بينما تستهدف هجمات التذاكر الذهبية أيضًا عمليات مصادقة Kerberos، فإنها تختلف عن هجوم Keberoasting. 

في هجوم Kerberoasting، يسرق المخترقون التذاكر ويخترقونها للكشف عن كلمات المرور والاستيلاء على حسابات الخدمة.

أما في هجوم التذكرة الذهبية، فيكتسب المخترق أولاً امتيازات على مستوى المسؤول في النطاق. ويتيح لهم ذلك الوصول إلى كلمة مرور حساب krbtgt، وهو الحساب الذي يستخدمه مركز التوزيع الرئيسي لتشفير تذاكر منح التذاكر. يستخدم المخترق هذه الامتيازات لإنشاء تذاكر Kerberos ضارة تتيح لهم التظاهر بكونهم أي مستخدم والحصول على الوصول غير المقيد تقريبًا إلى موارد الشبكة.

الكشف عن هجمات Kerberoasting والتخفيف من حدتها ومنعها

من الصعب تحديد هجمات Kerberoasting لأن المهاجمين يقضون الكثير من وقتهم في التنكر كحسابات شرعية. وتمتزج طلبات التذاكر الخاصة بهم مع الطلبات الحقيقية، ويحدث الاختراق الفعلي لكلمات المرور خارج نطاق الشبكة. 

ومع ذلك، توجد أدوات وممارسات يمكن للمؤسسات استخدامها لتقليل فرص نجاح الهجوم واعتراض هجوم Kerberoasting بشكل أفضل في أثناء تقدمه.

أدوات إدارة الهوية والوصول

نظرًا إلى أن هجمات Kerberosting تسيطر على حسابات النطاق، فإن حماية هذه الحسابات باستخدام عناصر تحكم إدارة الهوية والوصول (IAM) المحسّنة يمكن أن تساعد على إحباط بعض الانتهاكات.

يمكن لسياسات كلمات المرور القوية وممارساتها، بما في ذلك حلول إدارة كلمات المرور المركزية، أن تصعب على المخترقين اختراق كلمات المرور. على سبيل المثال، يوصي إطار عمل MITRE ATT&CK بأن تتكون كلمات مرور حسابات الخدمة من 25 حرفًا على الأقل، وأن تكون معقدة بما يكفي وتتغير بانتظام.⁴

في Active Directory، يمكن للمؤسسات استخدام حسابات الخدمات المُدارة للمجموعة. وهي حسابات خدمة تنشِئ تلقائيًا كلمات المرور وتديرها وتغيرها بانتظام، لذلك لا يحتاج المسؤولون إلى إدارة كلمات المرور يدويًا.

يمكن أن تساعد المصادقة القوية، مثل المصادقة التكيفية أو متعددة العوامل (MFA)، على حماية حسابات المستخدمين من السرقة. ومع ذلك، غالبًا ما يكون استخدام المصادقة متعددة العوامل لحسابات الخدمة أمرًا صعبًا وغير فعال.

إدارة الوصول المميز

يمكن أن تساعد أدوات إدارة الوصول المميز على توفير أمان إضافي لبيانات اعتماد الحسابات المميزة، مثل حسابات خدمة Kerberos وغيرها من الأهداف ذات القيمة العالية.

تعرف على كيفية مساعدة IBM Verify Privilege للمؤسسات على اكتشاف الحسابات المميزة والتحكم فيها وإدارتها وحمايتها عبر نقاط النهاية وبيئات السحابة المتعددة الهجينة

مبدأ الامتيازات الأقل

من خلال تقليل امتيازات حساب الخدمة لتقتصر على الأذونات التي تحتاج إليها، يمكن للمؤسسات تقليل الضرر الذي قد يحدثه المخترقون عن طريق اختراق تلك الحسابات.

بالإضافة إلى ذلك، يمكن أن تقتصر حسابات الخدمة على عمليات تسجيل الدخول غير التفاعلية وعلى خدمات وأنظمة محددة فقط.

مراقبة نشاط Kerberos

غالبًا ما تمتزج طلبات التذاكر الضارة مع الطلبات المشروعة، ولكن قد يترك المخترقون علامات واضحة. على سبيل المثال، قد يشن الحساب الذي يطلب العديد من التذاكر للعديد من الخدمات في وقت واحد هجوم Kerberoasting.

يمكن أن تساعد سجلات الأحداث مثل Windows Event Viewer أو نظام معلومات الأمان وإدارة الأحداث (SIEM) فرق الأمان على اكتشاف الأنشطة المشبوهة. يمكن أن تساعد الأدوات التي تراقب المستخدمين، مثل حل تحليلات سلوك المستخدم (UBA)، على اكتشاف المخترقين الذين اخترقوا حسابات شرعية.

يمكن لفِرَق الأمن التقاط المزيد من الأنشطة المهدِّدة من خلال مواءمة أدوات المراقبة مع أنظمة المعلومات لديهم. على سبيل المثال، يمكن تكوين الأدوات بحيث تؤدي أي محاولة يقوم بها حساب الخدمة لتسجيل الدخول خارج نطاقه المحدد مسبقًا إلى تشغيل تنبيه وطلب تحقيق.

تعزيز التشفير

لا تزال العديد من حالات Kerberos تدعم خوارزمية التشفير RC4. ومع ذلك، فإن معيار التشفير القديم هذا سهّل نسبيًا على المخترقين اختراقه. 

يمكن أن يؤدي تمكين نوع تشفير أقوى، مثل معيار التشفير المتقدم (AES)، إلى صعوبة اختراق التذاكر على المخترقين. 

حسابات Honeytokens

تنشئ بعض المؤسسات Honeytokens، وهي حسابات نطاقات مزيفة تُنشَأ لكي يتم اختراقها. عندما يهاجم المخترقون honeytoken، يُرفع تنبيه تلقائيًا حتى يتمكن فريق الأمن من التصرف. 

صُممت حسابات Honeytoken لجذب الانتباه بعيدًا عن الحسابات الحقيقية، حيث تبدو غالبًا كأنها ذات بيانات اعتماد ضعيفة وامتيازات عالية.

حلول ذات صلة

IBM Verify Privilege

اكتشف الحسابات المميزة وتحكم فيها وأدرها واحمها عبر نقاط النهاية وبيئات السحابة المتعددة الهجينة.

استكشف IBM Verify Privilege

IBM Verify

أضف السياق العميق والذكاء والأمان إلى القرارات التي ينبغي للمستخدمين أن يتمكنوا من الوصول إليها إلى بيانات مؤسستك وتطبيقاتها، سواء محليًا أو في السحابة.

استكشف IBM Verify

خدمات IBM لإدارة الهوية والوصول (IAM)

إدارة الهوية والوصول الشاملة والآمنة والمتوافقة للمؤسسة الحديثة.

استكشف خدمات إدارة الهوية والوصول

الموارد

مؤشر X-Force Threat Intelligence

تعلم من التحديات والنجاحات التي حققتها الفرق الأمنية في جميع أنحاء العالم، استنادًا إلى المعارف والملاحظات التي تم الحصول عليها من مراقبة أكثر من 150 مليار حدث أمني يوميًا في أكثر من 130 دولة.

ما المقصود بتنسيق الهوية؟

يُعد Identity orchestration حلاً برمجيًا لتنسيق أنظمة إدارة الهوية والوصول (IAM) المتباينة من العديد من موفري الهوية في عمليات سير العمل السلسة.

أنواع تهديدات الأمن الإلكتروني

كلما زادت معرفة فرق الأمن والموظفين بأنواع تهديدات الأمن الإلكتروني المختلفة، زادت قدرتهم على الوقاية من هذه الهجمات والتأهب والاستجابة لها.

الحواشي

تؤدي كل الروابط إلى صفحات خارج ibm.com

¹ كلارك، تشارلي. مسارات هجوم جديدة؟ تذاكر الخدمة حسب الطلب. Semperis. 27 سبتمبر 2022.

² اختراق SolarWinds. MITRE ATT&CK. 14 إبريل 2023.

³برنامج الفدية الضارة Stop: برنامج الفدية الضارة Akira . وكالة الأمن الإلكتروني وأمن البنية الأساسية (CISA). 18 إبريل 2024.

⁴ سرقة أو تزوير تذاكر Kerberos: هجوم Kerberoasting. MITRE ATT&CK. 30 مارس 2023.