Serangan Kerberoasting masih menjadi masalah yang memusingkan bagi para profesional TI, sehingga memungkinkan peretas untuk meningkatkan hak istimewa dan mencapai tingkat tertinggi lingkungan Active Directory (AD) Anda. Namun dengan menerapkan kebijakan kata sandi, enkripsi, dan keamanan siber yang kuat, Anda dapat mengganggu para penjahat bahkan sebelum mereka mulai.
Istilahnya memanggang kerber mengacu pada ‘Kerberos’, protokol otentikasi yang digunakan Microsoft AD untuk memverifikasi identitas komputer atau pengguna yang meminta akses ke sumber daya tertentu.
Kekuatan serangan ini terletak pada sifat eskalasinya. Penjahat dunia maya dapat memulai dengan mengeksploitasi akun pengguna Windows standar apa pun di AD, yang diakses melalui daftar teknik kriminal yang biasa: malware, phishing, dll.
Namun, tujuan sebenarnya penyerang adalah menargetkan ‘akun layanan’, yang dapat diidentifikasi berdasarkan Nama Prinsipal Layanan (SPN) mereka. Ini adalah jenis akun yang menjalankan layanan Windows dan biasanya tidak digunakan oleh pengguna biasa.
Akun layanan menarik bagi peretas karena sering kali berisi izin tingkat tinggi di seluruh layanan, dan dalam beberapa kasus, bahkan akses administrator domain.
Cara kerja Kerberoasting di Direktori Aktif
Jadi bagaimana cara penyerang beralih dari akun pengguna normal ke akun layanan? Bahayanya terletak pada mekanisme pemberian tiket di Kerberos.
Protokol Kerberos menyampaikan status otentikasi pengguna dalam pesan yang disebut ‘tiket layanan’. Setiap pengguna dengan akun AD dapat meminta tiket ke akun layanan apa pun di AD dari layanan pemberian tiket (TGS). Artinya, dengan menggunakan akun pengguna biasa yang berada di bawah kendalinya, penyerang dapat meminta tiket layanan yang terkait dengan SPN.
Peretas dapat mengidentifikasi akun tersebut dengan mudah menggunakan alat sumber terbuka gratis seperti GetUserSPNs.py dari SecureAuth Corporation atau Rubeus dari Ghost Pack. Alat-alat ini juga dapat secara otomatis meminta tiket valid yang terkait dengan akun layanan ini.
Setiap tiket dienkripsi dengan hash kata sandi akun target: kata sandi yang terkait dengan SPN. Penyerang mengambil tiket secara offline dan menggunakannya teknik kekerasan untuk memecahkan hash kata sandi kapan pun mereka mau, sehingga memungkinkan mereka mengambil alih akun layanan dan semua akses terkait, dengan kemampuan untuk melakukan penskalaan dari sana.
Prioritas kata sandi untuk keamanan yang lebih kuat
Hal ini tidak akan mungkin terjadi jika akun dilindungi dengan baik: bahkan jika peretas berhasil mendapatkan tiket dan menjadikannya offline, tingkat enkripsi tertinggi Dan kompleksitas kata sandi akan menggagalkan upaya mereka untuk memecahkan hash tiket.
Maka, langkah pertama yang jelas adalah mengaudit kata sandi yang Anda gunakan, memastikan kata sandi tersebut sesuai dengan tujuannya di dunia Kerberoasting.
Alat seperti Auditor Kata Sandi Specops dapat memainkan peran kunci di sini, memindai AD Anda untuk mencari kerentanan terkait kata sandi. Ini berfungsi pada tiga level utama:
- Audit akun AD: Periksa akun pengguna terhadap 1 miliar kata sandi yang rentan, pindai kata sandi lemah yang dapat ditargetkan oleh penyerang dan audit domain Anda untuk menemukan akun istimewa yang sudah usang atau tidak aktif.
- Analisis risiko dengan laporan kata sandi: Pastikan kebijakan Anda mendorong pengguna untuk membuat kata sandi yang aman. Identifikasi akun dengan kata sandi yang kedaluwarsa, identik, atau kosong, dan ukur efektivitas kebijakan Anda terhadap serangan brute force.
- Selaraskan kebijakan kata sandi dengan standar kepatuhan: Tolok ukur Anda kebijakan kata sandi terhadap standar terbaik dan memastikan Anda mematuhi peraturan keamanan siber dan privasi.
Mengapa Kerberoasting sulit dideteksi
Kita telah melihat betapa sederhananya hal ini dilakukan oleh penjahat yang cerdik meningkatkan hak istimewa mereka dengan memanfaatkan arsitektur AD. Namun ada masalah lain: Kerberoasting mungkin sulit dideteksi meskipun sedang berlangsung.
Pertama, upaya peretas untuk memecahkan tiket terjadi secara offline, sehingga tidak terdeteksi. Namun yang lebih buruk lagi: serangan ini tidak memerlukan malware untuk beroperasi, sehingga tidak dapat dideteksi oleh solusi tradisional seperti alat antivirus.
Dan karena penyerang memulai dengan mengambil kendali atas akun yang sah, mereka dapat menghindari solusi deteksi keamanan siber, karena solusi ini biasanya tidak dirancang untuk memantau perilaku pengguna yang disetujui.
Jadi, apa yang bisa dilakukan untuk melindungi akun Anda dari Kerberoasting? Ada banyak pilihan untuk mengurangi risiko, namun berikut adalah beberapa prioritas utama.
Audit semua kata sandi akun domain secara teratur
Seperti yang telah kita lihat, kata sandi adalah tautan terlemah. Setiap akun yang mendukung SPN harus dilindungi dengan non-reusable, random, dan kata sandi yang panjang minimal 25 karakter. Anda juga harus memastikan bahwa kata sandi ini dirotasi secara berkala.
Gunakan Akun Layanan Terkelola Grup (gMSA)
Ini adalah jenis akun AD itu memungkinkan beberapa layanan atau server untuk menggunakan akun yang samamenyediakan penanganan SPN yang disederhanakan dan manajemen kata sandi otomatis. Seperti yang dicatat oleh Microsoft, kata sandi untuk gMSA “panjangnya 120 karakter, rumit, dan dibuat secara acak, menjadikannya sangat tahan terhadap serangan siber brute force menggunakan metode yang saat ini dikenal”.
Pilih enkripsi AES
Tidak semua akun layanan memiliki potensi risiko yang sama terhadap peretas. Target terlemahnya adalah mereka yang menggunakan algoritma enkripsi yang lemah, dengan RC4 sebagai perhatian khusus. Akun yang menggunakan enkripsi AES jauh lebih sulit diretas oleh penjahat.
Langkah selanjutnya untuk melindungi akun layanan
Kerberoasting merupakan ancaman yang signifikan, namun bahaya tersebut dapat diatasi. Langkah pertama adalah melakukan audit terhadap semua akun pengguna dengan SPN. Jika Anda menemukan bahwa beberapa akun tidak memerlukan SPN, cukup hapus saja. Jika Anda ingin menjalankan pemindaian read-only pada Direktori Aktif Anda sekarang, unduh alat audit gratis kami: Auditor Kata Sandi Specops.
Pada tingkat yang lebih luas, terapkan kebijakan kata sandi yang kuat dan kebersihan keamanan siber di seluruh organisasi Anda. Ingatlah bahwa Kerberoasting dimulai dengan menyerang akun pengguna biasa, jadi pastikan semua orang menggunakan kata sandi yang panjang dan rumit yang dirotasi secara berkala. Lebih baik lagi, kejar a kebijakan otentikasi multi-faktordan memastikan karyawan sadar akan bahaya malware dan phishing.
Penjahat dunia maya mengeksploitasi alat yang mudah diakses untuk melakukan serangan. Namun, teknologi juga berpihak pada Anda. Misalnya, Kebijakan Kata Sandi Specops dirancang untuk terus memblokir lebih dari 4 miliar kata sandi unik yang disusupimemindai potensi masalah ini dan menemukan kata sandi yang dilanggar setiap hari.
Dengan pertahanan seperti itu, Anda dapat memastikan Kerberoasting gagal sejak awal dan melindungi akun layanan penting Anda dari eksploitasi.
Pesan demo langsung Kebijakan Kata Sandi Specops hari ini.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
