پارت دوم: حملات مبتنی بر پروتکل Kerberos
مقدمه
در پارت اول این مجموعه، با مفاهیم پایهای شناسایی حملات سایبری و روشهای تحلیل رفتار مهاجمان آشنا شدیم. در این بخش، تمرکز ما بر یکی از حساسترین و پیچیدهترین لایههای امنیتی در شبکههای سازمانی است: پروتکل احراز هویت Kerberos در محیط Active Directory.
Kerberos یکی از اصلیترین مکانیزمهای احراز هویت در شبکههای ویندوزی است. اما همین پروتکل به دلیل ماهیت تیکتمحور خود، هدف جذابی برای مهاجمان پیشرفته به شمار میرود. حملاتی مانند Pass-the-Ticket، Kerberoasting و AS-REP Roasting از رایجترین تکنیکهایی هستند که تیمهای Red Team و مهاجمان واقعی در مرحله Lateral Movement و Credential Access از آنها استفاده میکنند.
در این پارت، هر حمله را از سه منظر بررسی میکنیم: نحوه عملکرد فنی، رویکردهای پیشگیری و شناسایی با استفاده از Event ID های ویندوز، و کوئریهای آماده Splunk برای شکار تهدید (Threat Hunting). همچنین مپینگ دقیق هر حمله به چارچوب MITRE ATT&CK ارائه شده است.
۴. Pass-the-Ticket (PtT)
شرح حمله: استفاده از تیکت Kerberos دزدیدهشده برای ورود به سیستم بدون نیاز به رمزعبور یا هش.
ابزار: Rubeus و Mimikatz
جلوگیری: استفاده از Protected Users، مانیتورینگ الگوهای Kerberos، محدود کردن عمر تیکتها و بلیط TGT.
Event ID های مرتبط:
• 4624 — ورود موفق به سیستم (Logon with Kerberos)
• 4769 — درخواست تیکت سرویس (TGS)
• 4768, 4770
MITRE ATT&CK:
Tactic: Lateral Movement
Technique: T1550.003 – Use Alternate Authentication Material: Pass the Ticket
Procedure: بلیط TGT/TGS Kerberos از حافظه سیستم قربانی استخراج شده و در سیستم دیگر تزریق میشود.
Splunk Query — شناسایی ورود با تیکت Kerberos:
(EventCode=4769) TargetUserName startswith
| stats count by TargetUserName, LogonType, AuthenticationPackageName
توضیح: این کوئری ورودهای موفق با تیکتهای Kerberos را بدون درخواست TGS شناسایی میکند؛ نشانهای احتمالی از حمله Pass-the-Ticket.
Splunk Query — نسخه دوم:
Authentication_Package="Kerberos" | stats count by Account_Name, Workstation_Name
۵. Kerberoasting
شرح حمله: درخواست تیکتهای سرویس برای حسابهای Service Account و استخراج هش رمز از آنها برای شکستن آفلاین و دسترسی به رمزعبور.
ابزار: Impacket و Rubeus
جلوگیری: استفاده از رمزهای قوی برای حسابهای سرویس، محدود کردن دسترسی آنها و مانیتور درخواستهای TGS.
Event ID مرتبط:
• 4769 — درخواست تیکت سرویس (TGS)
MITRE ATT&CK:
Tactic: Credential Access
Technique: T1558.003 – Steal or Forge Kerberos Tickets: Kerberoasting
Procedure: درخواست بلیط سرویس از KDC و استخراج آنها برای حمله آفلاین به هش رمزعبور Service Account.
Splunk Query — شناسایی RC4 Encryption در TGS:
EncryptionType="0x17" | stats count by TargetUserName, ServiceName
توضیح: این کوئری درخواستهای TGS با الگوریتم رمزنگاری RC4 (0x17) را شناسایی میکند — نشانه رایج حملات Kerberoasting.
Splunk Query — نسخه دوم:
Service_Name, Ticket_Encryption_Type | where Ticket_Encryption_Type="0x17"
توضیح: درخواست بلیطهای قابل آفلاین کرک شدن.
۶. AS-REP Roasting
شرح حمله: حمله به اکانتهایی که نیازی به pre-authentication ندارند و گرفتن هش رمز آنها از پاسخ AS-REP.
ابزار: Rubeus
جلوگیری: فعال کردن pre-authentication برای همه کاربران.
Event ID مرتبط:
4768 — درخواست تیکت TGT
MITRE ATT&CK:
Tactic: Credential Access
Technique: T1558.004 – Steal or Forge Kerberos Tickets: AS-REP Roasting
Procedure: استفاده از کاربران با گزینه "Do not require Kerberos pre-authentication" برای دریافت هش رمزعبور بدون احراز هویت اولیه.
Splunk Query:
EventCode=4768 | where PreAuthType="0" | stats count by TargetUserName
توضیح: این کوئری درخواستهای TGT بدون pre-authentication را شناسایی میکند — نشانه احتمالی حسابهای در معرض حمله AS-REP Roasting.


