Kerberoasting: La amenaza silenciosa que TIC Defense ayuda a desmantelar
En el complejo ecosistema de ciberseguridad moderno, no todos los ataques comienzan con un malware sofisticado o un exploit de día cero. Frecuentemente, los ciberdelincuentes utilizan las propias funciones legítimas de una red para moverse de forma lateral y escalar privilegios. Uno de los métodos más efectivos y difíciles de detectar en entornos de Active Directory es el llamado kerberoasting.
Como expertos en la protección de todo tipo de infraestructuras, TIC Defense analiza esta técnica para explicar por qué sigue siendo una de las armas preferidas de los grupos de ransomware y cómo las compañías pueden defenderse de ella.
El kerberoasting es una técnica de ataque que se aprovecha del protocolo kerberos, el sistema de autenticación predeterminado en entornos de Microsoft Windows. A diferencia de otros ciberataques que intentan romper la seguridad, esta técnica simplemente se encarga de “pedir” permiso.
El objetivo del hacker malicioso es obtener los hashes de las contraseñas de las cuentas de servicio. Estas cuentas son utilizadas por aplicaciones como SQL Server, IIS o sistemas de respaldo para interactuar con la red. Debido a que estas cuentas suelen tener privilegios elevados y contraseñas que rara vez se cambian, son el santo grial para los cibercriminales.
Para explicarlo de manera sencilla, se desglosa el ataque en cuatro pasos fundamentales. El primero de ellos es el acceso inicial; en donde el ciberatacante ya está dentro de la red, por medio de un phishing o un equipo mal configurado. Para ello, no necesita privilegios de administrador para empezar.
El segundo de estos pasos es la solicitud de tickets o TGS; el actor malicioso solicita un ticket de servicio, llamado también Ticket Granting Service o TGS, por sus siglas en inglés, para cualquier servicio que tenga un Nombre Principal de Servicio o SPN configurado. Dado que cualquier usuario de la red puede solicitar estos tickets, el Active Directory los entrega sin cuestionar.
Luego tenemos la extracción del hash, en donde el ticket recibido está cifrado con el hash de la contraseña de la cuenta de servicio. El ciberdelincuente extrae este ticket de la memoria del equipo y se lo lleva a su propia máquina “offline”.
Por último, se encuentra el cracking fuera de línea. Usando herramientas de fuerza bruta, el pirata informático intenta adivinar la contraseña del ticket. Como este proceso ocurre fuera de la red de la organización, los sistemas de detección tradicionales no ven nada sospechoso.
La peligrosidad del kerberoasting reside en su invisibilidad. La solicitud del ticket es una operación 100% legítima dentro del protocolo kerberos. Para un administrador de red tradicional, parece que un usuario simplemente se encuentra intentando conectarse a una base de datos.
No obstante, una vez que el hacker malicioso logra descifrar la contraseña, obtiene el control total del servicio asociado, lo que, como es común, puede permitirle a dicho hacker malicioso el control total del dominio. Para mitigar este riesgo, TIC Defense recomienda una estrategia basada en pilares, como la higiene de contraseñas y MSA.
La defensa más sencilla y efectiva es la complejidad. Las cuentas de servicio deben tener contraseñas extremadamente largas, con más de 25 caracteres, que son imposibles de descifrar por fuerza bruta, por ello, se recomienda la transición hacia el Managed Service Accounts o MSA, las cuales son cuentas cuyas contraseñas son gestionadas automáticamente por Windows, son complejas y rotan de forma periódica.
Una táctica de defensa avanzada es la creación de “cuentas trampa”. Se configuran cuentas de servicio falsas, llamadas Honeypots, que no tienen uso real en la compañía. Si alguien solicita un ticket para esa cuenta, se activa una alerta inmediata, debido a que solo un cibercriminal escaneando la red intentaría interactuar con ella.
