Een nieuwe benadering van een decennium oude uitdaging

Cyberbeveiliging
Een nieuwe benadering van een decennium oude uitdaging

Beveiligingsexperts hebben het al meer dan tien jaar over kerberoasting, maar deze aanval blijft typische defensiemethoden ontwijken. Waarom? Het is omdat bestaande detecties afhankelijk zijn van brosse heuristiek en statische regels, die niet standhouden voor het detecteren van potentiële aanvalspatronen in zeer variabel Kerberos -verkeer. Ze genereren vaak valse positieven of missen “low-and-slow” -aanvallen helemaal.

Is er een betere en nauwkeuriger manier voor moderne organisaties om subtiele afwijkingen te detecteren binnen onregelmatig Kerberos -verkeer? Het onderzoeksteam van BeyondTrust probeerde deze vraag te beantwoorden door inzichten in de beveiligingsonderzoek te combineren met geavanceerde statistieken. Dit artikel biedt een kijkje op hoog niveau in de drijvende krachten achter ons onderzoek en ons proces van het ontwikkelen en testen van een nieuw statistisch kader voor het verbeteren van de nauwkeurigheid van de Kerberos Anomaly Detection en het verminderen van valse positieven.

Een inleiding tot kerberoasting -aanvallen

Kerberoasting -aanvallen maken gebruik van het Kerberos Network Authentication Protocol in Windows Active Directory -omgevingen. Het authenticatieproces van Kerberos werkt als volgt:

1. As-Req: Een gebruiker logt in en vraagt om een ticketvergroeningsticket (TGT).

2. As-Rep: De authenticatieserver verifieert de inloggegevens van de gebruiker en geeft een TGT uit.

3. TGS-Req: Wanneer de gebruiker toegang tot een service wil aanvragen, vragen hij om een ticket verlenen serviceticket (TGS) met behulp van de eerder ontvangen TGT. Deze actie is opgenomen als Windows Event 4769(1) op de domeincontroller.

4. TGS-REP: De TGS verifieert het verzoek en geeft een TGS uit, die wordt gecodeerd met behulp van de wachtwoordhash van de servicecounty die is gekoppeld aan de gevraagde service.

5. KRB-AP-REQ: Om de gebruiker te verifiëren tegen een service met behulp van het TGS -ticket, sturen ze het naar de applicatieserver, die vervolgens verschillende acties onderneemt om de legitimiteit van de gebruiker te verifiëren en toegang toe te staan tot de gevraagde service.

Aanvallers willen dit proces exploiteren omdat Kerberos -servicetickets zijn gecodeerd met de hash van het wachtwoord van de serviceaccount. Om te profiteren van Kerberos -tickets, benutten aanvallers eerst LDAP (Lightweight Directory Access Protocol) om de directory op te vragen voor alle advertentie -accounts die daaraan geassocieerde serviceprincipale namen (SPN’s) hebben. Een aanvaller vraagt vervolgens om tickets voor tickets (TGS) tickets voor deze accounts, die kunnen worden gedaan zonder enige administratieve rechten. Zodra ze om deze servicetickets hebben gevraagd, kunnen ze de hash offline kraken om de inloggegevens van de servicecount te onthullen. Toegang tot een serviceaccount kan vervolgens de aanvaller in staat stellen om zijdelings te bewegen, rechten te escaleren of gegevens te exfiltreren.

De tekortkomingen van typische heuristische methoden

Veel organisaties hebben op heuristische gebaseerde detectiemethoden om het gedrag van onregelmatige Kerberos te markeren. Een veel voorkomende methode is op volume gebaseerde detectie, die een piek in TGS-aanvraagactiviteit van een enkel account kan markeren. Als een aanvaller om TGS -tickets vraagt voor alle hoofdnamen die ze kunnen vinden met behulp van LDAP, zal deze detectiemethode deze piek waarschijnlijk identificeren als verdachte activiteit. Een andere methode, analyse van het coderingstype, kan detecteren of een aanvaller probeert de codering van de gevraagde TGS-tickets te downgraden van de standaard AE’s naar een zwakker type, zoals RC4 of Des, in de hoop zijn eigen werk gemakkelijker te maken wanneer ze beginnen met het kraken van de hash.

Hoewel beide van deze statische op regels gebaseerde methoden in sommige gevallen kunnen werken, produceren ze een berucht aantal valse positieven. Bovendien houden ze geen rekening met het gedrag en onregelmatigheden van de gebruiker die uniek zijn voor de domeinconfiguraties van elke organisatie.

Een statistisch model voor het detecteren van kerberoasting -aanvallen

Met deze beperkingen in het achterhoofd, probeerde het BeyTrust -onderzoeksteam een methode te vinden die zowel de detectiemogelijkheden van de anomalie zou verbeteren als valse positieven zou verminderen. We vonden statistische modellering de beste methode, waarin een model zou worden gemaakt dat de waarschijnlijkheidsverdeling zou kunnen schatten op basis van contextuele gegevenspatronen. De mogelijkheid om normaal gebruikersgedrag te voorspellen, is van cruciaal belang om eventuele afwijkingen te markeren.

Ons team heeft vier beperkingen vastgesteld voor ons potentiële statistische model, gebaseerd op bestaand Kerberoasting -onderzoek(2, 3):

  1. Verklaarbaarheid: De mogelijkheid om de output te interpreteren ten opzichte van een herkende, genormaliseerde en gemakkelijk te verklaren en bij te leggen meten.
  2. Onzekerheid: De mogelijkheid om de steekproefomvang en het vertrouwen in schattingen weer te geven, in tegenstelling tot de output een eenvoudige binaire indicator.
  3. Schaalbaarheid: De mogelijkheid om de hoeveelheid cloud computing en gegevensopslag te beperken die nodig is voor het bijwerken van modelparameters per run.
  4. Niet -stationariteit: Het vermogen om zich aan te passen aan trends of andere gegevensveranderingen in de loop van de tijd, en deze verschuivingen op te nemen naar hoe anomalieën worden gedefinieerd

Het onderzoeksteam van Beyond Trust werkte aan het opbouwen van een model dat in lijn was met de bovenstaande beperkingen, waarbij uiteindelijk een model werd ontwikkeld dat vergelijkbare ticket-equest-patronen groeit in verschillende clusters en vervolgens histogrambakken gebruikt om de frequentie van bepaalde activiteitsniveaus in de loop van de tijd bij te houden. Het doel: om te leren hoe ‘normaal’ eruit ziet voor elk cluster. We wilden om valse positieven te verminderen door deze als gegevenspatronen samen te groeperen, omdat gebeurtenissen die zich op zichzelf konden uitzien, normaal zijn in vergelijking met vergelijkbare gegevenspatronen.

Kerberoasting statistisch model: resultaten

Het team testte vervolgens het model gedurende 50 dagen gegevens of ongeveer 1.200 evaluatieperioden per uur. De resultaten van het model zijn als volgt:

  • Behaalde consequent verwerkingstijden onder de 30 seconden, inclusief histogramupdates, clusteringbewerkingen, scoreberekeningen, percentielrangschikking en resultaatopslag.
  • Identificeerde zes afwijkingen met opmerkelijke temporele patronen, zoals niet -gecorreleerde spikes in smalle tijdvensters, verhoogde variantie en significante tijdelijke verschuivingen. Twee werden geïdentificeerd als penetratietests, één was de gesimuleerde Kerberoasting -aanval van het team en drie waren gerelateerd aan grote veranderingen in Active Directory -infrastructuur die onbedoelde pieken veroorzaakten in Kerberos -serviceticketverzoeken.
  • Extreme variabiliteit in zwaarstaartrekeningen uitzonderlijk goed verwerkt, op de juiste wijze down-weighting anomalie scores na het observeren van slechts twee opeenvolgende pieken door dynamische glijdende vensterupdates en realtime percentielranglijst. Dit aanpassingsniveau is opmerkelijk sneller dan standaardafwijkingsmethoden voor anomalie

Na het uitvoeren van dit onderzoek kon het Beyond Trust -onderzoeksteam vroege succes rapporteren door beveiligingsexpertise te combineren met geavanceerde statistische technieken. Omdat er inherente beperkingen zijn van pure anomaliedetectiemethoden, was samenwerking tussen experts in beveiliging en data science noodzakelijk voor dit succes. Hoewel statistici een adaptief model kunnen creëren dat rekening houdt met variabel gedrag, kunnen beveiligingsonderzoekers de benodigde context bieden voor het identificeren van opmerkelijke functies binnen gemarkeerde gebeurtenissen.

Conclusie

Al met al bewijst dit onderzoek dat, zelfs bij het overwegen van decennia-oude aanvalspatronen zoals kerberoasting, er duidelijke paden vooruit zijn in het itereren en evolueren van detectie- en responsmogelijkheden. Naast het overwegen van de mogelijkheden van nieuwe detectiemogelijkheden, zoals die die in dit onderzoek zijn beschreven, moeten teams ook proactieve identiteitsbeveiligingsmaatregelen evalueren die de risico’s van kerberroasting verminderen voordat ze zich ooit voordoen.

Sommige oplossingen met identiteitsdreigingsdetectie en respons (ITDR) -mogelijkheden, zoals BeyTrust Identity Security Insights, kunnen teams helpen bij het proactief identificeren van accounts die kwetsbaar zijn voor kerberroasting als gevolg van onjuist gebruik van serviceprincipals en het gebruik van zwakke cipher.

Nauwkeurige, proactieve maatregelen, in combinatie met slimmere, meer context-bewust detectiemodellen, zijn essentieel omdat beveiligingsteams continu werken om het lawaai door te snijden en de groeiende complexiteit en schaal voor te blijven.

Over de auteurs:

Christopher Calvani, Associate Security Researcher, Beyond Trust

Christopher Calvani is een beveiligingsonderzoeker van het onderzoeksteam van BeyondTrust, waar hij kwetsbaarheidsonderzoek combineert met detectie -engineering om klanten te helpen opkomende bedreigingen voor te blijven. Christopher was een recent afgestudeerd aan het Rochester Institute of Technology met een BS in cybersecurity en ondersteunde eerder grote infrastructuur bij Fidelity Investments als stagiair van Systems Engineer en geavanceerde Devsecops -praktijken bij Stavvy.

Cole Sodja, Principal Data Scientist, Beyond Trust

Cole Sodja is een hoofdgegevenswetenschapper bij Beyond Trust met meer dan 20 jaar ervaring met toegepaste statistieken bij grote technologiebedrijven, waaronder Amazon en Microsoft. Hij is gespecialiseerd in tijdreeksanalyse en brengt diepe expertise in voorspelling, wijzigingsdetectie en gedragsmonitoring naar complexe zakelijke uitdagingen.

Referenties

  1. Evenement -ID 4769: Er is een Kerberos -serviceticket gevraagd (Microsoft Learn)
  2. Kerberos -authenticatie in Windows: een praktische gids voor het analyseren van de TGT -uitwisseling (Semantic Scholar PDF)
  3. Op Kerberos gebaseerde detectie van laterale beweging in Windows-omgevingen (ScitePress 2020 Conference Paper)
Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 10 Pro Fold officiële renders

Britse toezichthouders dringen aan op Apple & Google’s App Stores Crackdown

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]