用户账户暴露于 Kerberoasting
编辑用户账户暴露于 Kerberoasting
编辑检测用户账户的 servicePrincipalName 属性是否被修改。攻击者可以滥用对用户的写权限来配置服务主体名称 (SPN),以便执行 Kerberoasting。管理员也可以出于合法目的配置此项,从而使账户暴露于 Kerberoasting。
规则类型: 查询
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性: 高
风险评分: 73
每隔: 5m
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
- https://www.thehacker.recipes/ad/movement/access-controls/targeted-kerberoasting
- https://www.qomplx.com/qomplx-knowledge-kerberoasting-attacks-explained/
- https://www.thehacker.recipes/ad/movement/kerberos/kerberoast
- https://attack.stealthbits.com/cracking-kerberos-tgs-tickets-using-kerberoasting
- https://adsecurity.org/?p=280
- https://github.com/OTRF/Set-AuditRule
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:凭据访问
- 数据源:Active Directory
- 资源:调查指南
- 用例:Active Directory 监控
- 数据源:系统
版本: 213
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查用户账户暴露于 Kerberoasting
服务主体名称 (SPN) 是 Kerberos 客户端用于唯一标识 Kerberos 目标计算机的服务实例的名称。
默认情况下,只有计算机账户具有 SPN,这不会造成重大风险,因为机器账户具有默认域策略,每 30 天轮换一次其密码,并且密码由 120 个随机字符组成,使其不受 Kerberoasting 的影响。
分配了 SPN 的用户账户被视为服务账户,并且整个域都可以访问。如果目录中的任何用户请求票证授予服务 (TGS),域控制器将使用执行服务的账户的密钥对其进行加密。攻击者可以使用此信息执行 Kerberoasting 攻击,因为人为定义的密码可能不太复杂。
对于无法避免在用户账户上使用 SPN 的场景,Microsoft 提供了组托管服务账户 (gMSA) 功能,该功能可确保账户密码强大且定期自动更改。更多信息请参见 此处。
攻击者还可以执行“目标 Kerberoasting”,这包括向他们拥有写权限的用户账户添加伪造的 SPN,使其可能容易受到 Kerberoasting 的攻击。
可能的调查步骤
- 确定执行此操作的用户账户以及该账户是否应该执行此类操作。
- 联系账户所有者,确认他们是否知晓此活动。
- 调查目标账户是否属于特权组(域管理员、企业管理员等)。
- 调查是否已为目标账户请求过票证。
- 调查过去 48 小时内与用户/主机相关的其他告警。
误报分析
- 将用户账户用作服务账户是一种不良的安全实践,不应在域中允许。安全团队应映射和监控任何潜在的良性真阳性 (B-TP),尤其是在账户具有特权的情况下。定义此类设置的域管理员可能会使域面临风险,因为用户账户没有与计算机账户相同的安全标准(计算机账户具有长、复杂、随机的密码,并且会频繁更改),使其容易受到凭据破解攻击(Kerberoasting、暴力破解等)的影响。
响应和补救
- 根据分类结果启动事件响应流程。
- 调查受损系统或攻击者使用的系统上的凭据泄露情况,以确保识别所有受损账户。重置这些账户和其他可能受损的凭据(如电子邮件、业务系统和 Web 服务)的密码。优先考虑特权账户。
- 隔离相关主机,以防止进一步的入侵后行为。
- 确定攻击者滥用的初始载体,并采取措施防止通过相同载体再次感染。
- 利用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑设置
必须为(成功、失败)配置“审核目录服务更改”日志记录策略。使用高级审计配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Changes (Success,Failure)
上述策略不涵盖用户对象,因此请使用 https://github.com/OTRF/Set-AuditRule 设置 AuditRule。由于这指定了 servicePrincipalName 属性 GUID,因此预计噪音较低。
Set-AuditRule -AdObjectPath 'AD:\CN=Users,DC=Domain,DC=com' -WellKnownSidType WorldSid -Rights WriteProperty -InheritanceFlags Children -AttributeGUID f3a64788-5306-11d1-a9c5-0000f80367c1 -AuditFlags Success
规则查询
编辑event.action:("Directory Service Changes" or "directory-service-object-modified") and event.code:5136 and
winlog.event_data.OperationType:"%%14674" and
winlog.event_data.ObjectClass:"user" and
winlog.event_data.AttributeLDAPDisplayName:"servicePrincipalName"
框架: MITRE ATT&CKTM
-
战术
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:窃取或伪造 Kerberos 票证
- ID:T1558
- 参考网址:https://attack.mitre.org/techniques/T1558/
-
子技术
- 名称:Kerberoasting
- ID:T1558.003
- 参考网址:https://attack.mitre.org/techniques/T1558/003/