語系:
2014 年,一種名為 Kerberoast 的新型攻擊可利用 Kerberos 驗證通訊協定的內部機制來鎖定特權網域使用者帳戶。攻擊者的目標為探索帳戶的純文字密碼,進而取得相關權限。
此攻擊可能會在使用簡易、非特權使用者帳戶的 Active Directory 環境內部發生。若在帳戶上設定特定的 Active Directory 屬性 (servicePrincipalName
),這會影響到此帳戶的底層安全性。攻擊者可猜測此帳戶的密碼,傳統的安全機制會在經過數次密碼失敗後鎖定帳戶,但其無法防止針對密碼發動的密集攻擊。
某些高特權帳戶通常會成為攻擊對象 (例如「網域管理員
」群組使用者)。這些帳戶可能會導致整個網域極為快速地遭受入侵,因此應保護其不受此 Kerberos 設定威脅侵擾。
Kerberoasting 攻擊指標可在攻擊者試圖利用此弱點時警示資安人員。不過,您仍必須修正底層問題來保護最高特權帳戶,因為其可能會導致整個網域快速遭到入侵。
特權帳戶不應具有 Service Principal Name。
Sneaky Persistence Active Directory Trick: Dropping SPNs on Admin Accounts for Later Kerberoasting
MITRE ATT&CK - Steal or Forge Kerberos Tickets: Kerberoasting