پارت دوم: حملات مبتنی بر پروتکل Kerberos

مقدمه

در پارت اول این مجموعه، با مفاهیم پایه‌ای شناسایی حملات سایبری و روش‌های تحلیل رفتار مهاجمان آشنا شدیم. در این بخش، تمرکز ما بر یکی از حساس‌ترین و پیچیده‌ترین لایه‌های امنیتی در شبکه‌های سازمانی است: پروتکل احراز هویت Kerberos در محیط Active Directory.

Kerberos یکی از اصلی‌ترین مکانیزم‌های احراز هویت در شبکه‌های ویندوزی است. اما همین پروتکل به دلیل ماهیت تیکت‌محور خود، هدف جذابی برای مهاجمان پیشرفته به شمار می‌رود. حملاتی مانند Pass-the-Ticket، Kerberoasting و AS-REP Roasting از رایج‌ترین تکنیک‌هایی هستند که تیم‌های Red Team و مهاجمان واقعی در مرحله Lateral Movement و Credential Access از آن‌ها استفاده می‌کنند.

در این پارت، هر حمله را از سه منظر بررسی می‌کنیم: نحوه عملکرد فنی، رویکردهای پیشگیری و شناسایی با استفاده از Event ID های ویندوز، و کوئری‌های آماده Splunk برای شکار تهدید (Threat Hunting). همچنین مپینگ دقیق هر حمله به چارچوب MITRE ATT&CK ارائه شده است.

 

۴. Pass-the-Ticket (PtT)

شرح حمله: استفاده از تیکت Kerberos دزدیده‌شده برای ورود به سیستم بدون نیاز به رمزعبور یا هش.

ابزار: Rubeus و Mimikatz

جلوگیری: استفاده از Protected Users، مانیتورینگ الگوهای Kerberos، محدود کردن عمر تیکت‌ها و بلیط TGT.

Event ID های مرتبط:

4624 — ورود موفق به سیستم (Logon with Kerberos)

4769 — درخواست تیکت سرویس (TGS)

4768, 4770

MITRE ATT&CK:

Tactic: Lateral Movement

Technique: T1550.003 – Use Alternate Authentication Material: Pass the Ticket

Procedure: بلیط TGT/TGS Kerberos از حافظه سیستم قربانی استخراج شده و در سیستم دیگر تزریق می‌شود.

Splunk Query — شناسایی ورود با تیکت Kerberos:

(EventCode=4769) TargetUserName startswith
| stats count by TargetUserName, LogonType, AuthenticationPackageName

توضیح: این کوئری ورودهای موفق با تیکت‌های Kerberos را بدون درخواست TGS شناسایی می‌کند؛ نشانه‌ای احتمالی از حمله Pass-the-Ticket.

Splunk Query — نسخه دوم:

Authentication_Package="Kerberos" | stats count by Account_Name, Workstation_Name

 

۵. Kerberoasting

شرح حمله: درخواست تیکت‌های سرویس برای حساب‌های Service Account و استخراج هش رمز از آن‌ها برای شکستن آفلاین و دسترسی به رمزعبور.

ابزار: Impacket و Rubeus

جلوگیری: استفاده از رمزهای قوی برای حساب‌های سرویس، محدود کردن دسترسی آن‌ها و مانیتور درخواست‌های TGS.

Event ID مرتبط:

4769 — درخواست تیکت سرویس (TGS)

MITRE ATT&CK:

Tactic: Credential Access

Technique: T1558.003 – Steal or Forge Kerberos Tickets: Kerberoasting

Procedure: درخواست بلیط سرویس از KDC و استخراج آن‌ها برای حمله آفلاین به هش رمزعبور Service Account.

Splunk Query — شناسایی RC4 Encryption در TGS:

EncryptionType="0x17" | stats count by TargetUserName, ServiceName

توضیح: این کوئری درخواست‌های TGS با الگوریتم رمزنگاری RC4 (0x17) را شناسایی می‌کند — نشانه رایج حملات Kerberoasting.

Splunk Query — نسخه دوم:

Service_Name, Ticket_Encryption_Type | where Ticket_Encryption_Type="0x17"

توضیح: درخواست بلیط‌های قابل آفلاین کرک شدن.

 

۶. AS-REP Roasting

شرح حمله: حمله به اکانت‌هایی که نیازی به pre-authentication ندارند و گرفتن هش رمز آن‌ها از پاسخ AS-REP.

ابزار: Rubeus

جلوگیری: فعال کردن pre-authentication برای همه کاربران.

Event ID مرتبط:

 4768 — درخواست تیکت TGT

MITRE ATT&CK:

Tactic: Credential Access

Technique: T1558.004 – Steal or Forge Kerberos Tickets: AS-REP Roasting

Procedure: استفاده از کاربران با گزینه "Do not require Kerberos pre-authentication" برای دریافت هش رمزعبور بدون احراز هویت اولیه.

Splunk Query:

EventCode=4768 | where PreAuthType="0" | stats count by TargetUserName

توضیح: این کوئری درخواست‌های TGT بدون pre-authentication را شناسایی می‌کند — نشانه احتمالی حساب‌های در معرض حمله AS-REP Roasting.

 

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه