用户帐户暴露于 Kerberoasting
编辑用户帐户暴露于 Kerberoasting编辑
检测到用户帐户的 servicePrincipalName 属性被修改时。攻击者可以滥用对用户的写权限来配置服务主体名称 (SPN),以便他们可以执行 Kerberoasting。管理员也可以出于合法目的配置此项,从而使帐户暴露于 Kerberoasting。
规则类型:查询
规则索引:
- winlogbeat-*
- logs-system.*
- logs-windows.*
严重性:高
风险评分: 73
每隔:5 分钟运行一次
从以下时间开始搜索索引:now-9m(日期数学格式,另请参见 附加回溯时间)
每次执行的最大警报数: 100
参考:
- https://www.thehacker.recipes/ad/movement/access-controls/targeted-kerberoasting
- https://www.qomplx.com/qomplx-knowledge-kerberoasting-attacks-explained/
- https://www.thehacker.recipes/ad/movement/kerberos/kerberoast
- https://attack.stealthbits.com/cracking-kerberos-tgs-tickets-using-kerberoasting
- https://adsecurity.org/?p=280
- https://github.com/OTRF/Set-AuditRule
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 策略:凭据访问
- 数据源:Active Directory
- 资源:调查指南
- 用例:Active Directory 监控
版本: 109
规则作者:
- Elastic
规则许可:Elastic 许可证 v2
调查指南编辑
分类和分析
调查暴露于 Kerberoasting 的用户帐户
服务主体名称 (SPN) 是 Kerberos 客户端用于唯一标识 Kerberos 目标计算机的服务实例的名称。
默认情况下,只有计算机帐户具有 SPN,这不会产生重大风险,因为计算机帐户具有默认域策略,该策略每 30 天轮换一次密码,并且密码由 120 个随机字符组成,使其不受 Kerberoasting 攻击。
分配了 SPN 的用户帐户被视为服务帐户,并且整个域都可以访问该帐户。如果目录中的任何用户请求票据授予服务 (TGS),域控制器将使用执行服务的帐户的密钥对其进行加密。攻击者可能利用此信息执行 Kerberoasting 攻击,因为人为定义的密码可能不太复杂。
对于无法在用户帐户上避免 SPN 的情况,Microsoft 提供了组托管服务帐户 (gMSA) 功能,该功能可确保帐户密码可靠且定期自动更改。更多信息,请参阅此处。
攻击者还可以执行“目标 Kerberoasting”,其中包括向他们具有写入权限的用户帐户添加虚假 SPN,使其可能容易受到 Kerberoasting 攻击。
可能的调查步骤
- 识别执行操作的用户帐户以及它是否应该执行此类操作。
- 联系帐户所有者并确认他们是否知道此活动。
- 调查目标帐户是否是特权组(域管理员、企业管理员等)的成员。
- 调查是否已为目标帐户请求了票证。
- 调查过去 48 小时内与用户/主机关联的其他警报。
误报分析
- 将用户帐户用作服务帐户是一种糟糕的安全实践,并且不应该在域中允许这样做。安全团队应该映射和监控任何潜在的良性真阳性 (B-TP),尤其是如果该帐户具有特权。定义此类设置的域管理员可能会使域面临风险,因为用户帐户与计算机帐户没有相同的安全标准(计算机帐户具有频繁更改的、长、复杂且随机的密码),从而使它们面临凭据破解攻击(Kerberoasting、暴力破解等)。
响应和补救
- 根据分类结果启动事件响应流程。
- 调查攻击者入侵或使用的系统上的凭据泄露情况,以确保识别出所有受入侵的帐户。重置这些帐户和其他可能受入侵的凭据(如电子邮件、业务系统和 Web 服务)的密码。优先考虑特权帐户。
- 隔离涉及的主机,以防止进一步的入侵后行为。
- 确定攻击者滥用的初始媒介,并采取措施防止通过同一媒介重新感染。
- 使用事件响应数据更新日志记录和审计策略,以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
设置
必须为(成功、失败)配置审计目录服务更改日志记录策略。使用高级审计配置实施日志记录策略的步骤
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policies Configuration > Audit Policies > DS Access > Audit Directory Service Changes (Success,Failure)
上述策略不涵盖用户对象,因此使用 https://github.com/OTRF/Set-AuditRule 设置 AuditRule。由于这指定了 servicePrincipalName 属性 GUID,因此预计噪声会很低。
Set-AuditRule -AdObjectPath 'AD:\CN=Users,DC=Domain,DC=com' -WellKnownSidType WorldSid -Rights WriteProperty -InheritanceFlags Children -AttributeGUID f3a64788-5306-11d1-a9c5-0000f80367c1 -AuditFlags Success
规则查询编辑
event.action:"Directory Service Changes" and event.code:5136 and winlog.event_data.OperationType:"%%14674" and winlog.event_data.ObjectClass:"user" and winlog.event_data.AttributeLDAPDisplayName:"servicePrincipalName"
框架: MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:窃取或伪造 Kerberos 票证
- ID:T1558
- 参考 URL:https://attack.mitre.org/techniques/T1558/
-
子技术
- 名称:Kerberoasting
- ID:T1558.003
- 参考 URL:https://attack.mitre.org/techniques/T1558/003/