Un nuevo enfoque para los desafíos de hace 10 años

Los expertos en seguridad han estado hablando de querberoasting durante más de una década, y este ataque continúa eludiendo el método de defensa típico. ¿por qué? Esto se debe a que la detección existente se basa en la heurística frágil y las reglas estáticas, y no se conserva para detectar posibles patrones de ataque para el tráfico de Kerberos altamente variable. A menudo generan falsos positivos o se pierden los ataques «degradados» por completo.

¿Existe una forma mejor y más precisa para que las organizaciones modernas detecten anomalías sutiles dentro del tráfico irregular de Carreberos? El equipo de investigación de Beyond Trust intentó responder a esta pregunta combinando información de investigación de seguridad con estadísticas avanzadas. Este artículo examina la fuerza impulsora detrás de nuestra investigación y el proceso de desarrollo y prueba de nuevos marcos estadísticos para mejorar la precisión de la detección de anomalías en Kerberos y reducir los falsos positivos.

Presentamos el ataque de querberoasting

El ataque de Kerberoasting utiliza el protocolo de autenticación de la red Kerberos dentro de un entorno de Windows Active Directory. El proceso de autenticación de Kerberos funciona de la siguiente manera:

1. AS-REQ: el usuario inicia sesión y solicita un boleto de subvención de boletos (TGT).

2. As-Rep: El servidor de autenticación valida las credenciales del usuario y emite un TGT.

3. TGS-REQ: si un usuario solicita acceso al servicio, utiliza un TGT recibido previamente para solicitar un boleto de servicio de subvención de boletos (TGS). Esta acción se registra como Windows Event 4769 (1) en el controlador de dominio.

4. TGS-REP: TGS valida la solicitud y emite un TGS. Esto se encripta utilizando el hash de contraseña de la cuenta de servicio asociada con el servicio solicitado.

5. KRB-AP-REQ: Envíe al servidor de aplicaciones para que los usuarios se autenticen al servicio utilizando un ticket TGS. Esto requiere varias acciones para verificar la validez del usuario y otorgar acceso al servicio solicitado.

Debido a que los boletos de servicio de Kerberos están encriptados con un hash de la contraseña de la cuenta de servicio, los atacantes tienen como objetivo aprovechar este proceso. Para aprovechar los boletos de Kerberos, un atacante primero aprovecha el Protocolo de acceso de directorio ligero (LDAP) para consultar el directorio de cuentas publicitarias con el nombre principal del servicio (SPN) asociado con ellas. El atacante solicitará boletos del Servicio de subvenciones de boletos (TGS) para estas cuentas. Esto se puede hacer sin control. Una vez que haya solicitado estos boletos de servicio, puede descifrar el hash fuera de línea para revelar las credenciales de su cuenta de servicio. El acceso a una cuenta de servicio permite que un atacante se mueva de lado, aumente los privilegios y excluya los datos.

Los inconvenientes de los métodos heurísticos típicos

Muchas organizaciones tienen métodos de detección basados en heurística para marcar el comportamiento irregular de Kerberos. Un método común es la detección basada en el volumen. Esto le permite marcar picos en la actividad de solicitud de TGS desde una sola cuenta. Si un atacante solicita un boleto TGS para todos los nombres principales del servicio que puede encontrar usando LDAP, este método de detección podría identificar este pico como una actividad sospechosa. Otro método, el análisis criptográfico, puede detectar si un atacante está tratando de degradar el cifrado de boletos TGS solicitado de los AES predeterminados a un tipo más débil, como RC4 o DES, con la esperanza de que haga su trabajo más fácil cuando comienza a descifrar el hash.

Ambos métodos basados en reglas estáticas, aunque pueden funcionar en algunos casos, producen un número infame de falsos positivos. Además, no tiene en cuenta el comportamiento del usuario y las irregularidades específicas para la configuración del dominio de cada organización.

Un modelo estadístico para detectar ataques de querberoasting

Con estas limitaciones en mente, el Equipo de Investigación Beyond Trust intentó encontrar formas de mejorar las capacidades de detección de anomalías y reducir los falsos positivos. El modelado estadístico demostró ser el mejor método. Este método crea un modelo que le permite estimar las distribuciones de probabilidad basadas en patrones de datos de contexto. La capacidad de predecir el comportamiento normal del usuario es clave para marcar anormalidades.

Nuestro equipo presentó cuatro restricciones de futuros modelos estadísticos basados en la investigación existente de Kerberoasting (2, 3).

Explicabilidad: Capacidad para interpretar los resultados en términos de percibidas, normalizadas, fáciles de explicar y más fácil de rastrear. Incertidumbre: Capacidad para reflejar el tamaño de la muestra y la confiabilidad en las estimaciones, en lugar de que la salida sea un indicador binario simple. Escalabilidad: Capacidad para limitar la cantidad de computación en la nube y almacenamiento de datos requerido para actualizar los parámetros del modelo por ejecución. Inestabilidad: la capacidad de adaptarse a las tendencias y otros cambios en los datos incorpora estos cambios en la forma en que se define la anomalía

El Equipo de Investigación de Trust trabajó para construir un modelo que se alinee con las restricciones anteriores y, en última instancia, desarrolló un modelo que agrupó patrones de solicitud de boletos similares en grupos separados y usó contenedores de histograma para rastrear la frecuencia de niveles de actividad específicos a lo largo del tiempo. Objetivo: aprender cómo se ve el «normal» para cada clúster. Nuestro objetivo fue reducir los falsos positivos al agrupar estos patrones de datos similares. Esto se debe a que los eventos que pueden parecer sospechosos por su cuenta se normalizan en comparación con patrones de datos similares.

Modelo estadístico de Kerberoasting: resultados

Luego, el equipo probó el modelo durante datos de 50 días o un período de evaluación de aproximadamente 1,200 horas. Los resultados del modelo son los siguientes:

Los tiempos de procesamiento de menos de 30 segundos se lograron consistentemente, incluidas las actualizaciones de histogramas, las operaciones de agrupación, los cálculos de puntaje, las clasificaciones de percentiles y el almacenamiento de resultados. Se identificaron seis anomalías con patrones de tiempo prominentes, incluidos picos no correlacionados en ventanas de tiempo estrecho, mayor varianza y cambios temporales significativos. Dos fueron identificados como pruebas de penetración, uno fue un ataque de kerberoasting simulado del equipo, y tres estaban relacionados con cambios importantes en la infraestructura de Active Directory que causó picos descuidados en las solicitudes de boletos de servicio de Kerberos. Después de observar solo picos dos veces seguidas a través de actualizaciones dinámicas de ventanas deslizantes y clasificaciones de percentiles en tiempo real, manejamos las variaciones extremas en las cuentas de cola muy bien y muy bien, muy bien, con una puntuación anormal que estaba disminuyendo correctamente. Este nivel de adaptabilidad es significativamente más rápido que los métodos de detección de anomalías estándar.

Después de realizar este estudio, el equipo de investigación de confianza pudo informar el éxito temprano al combinar experiencia en seguridad con técnicas estadísticas avanzadas. Debido a que los métodos de detección de anomalías puras tienen limitaciones inherentes, este éxito requirió la cooperación de expertos en seguridad y ciencia de datos y ciencia de datos. Los estadísticos pueden crear modelos adaptativos que tengan en cuenta una variedad de comportamientos, pero los investigadores de seguridad pueden proporcionar el contexto que necesitan para identificar características destacadas dentro de los eventos marcados.

Conclusión

En general, este estudio demuestra que existen vías claras para iterar y evolucionar las habilidades de detección y respuesta, incluso considerando patrones de ataque de 10 años como la querberoasting. Además de considerar el potencial de nuevas capacidades de detección como se describe en este estudio, los equipos deben evaluar medidas de seguridad de identidad proactiva que reducen el riesgo de ácido de kerberos antes de que ocurran.

Varias soluciones con capacidades de detección de amenazas y respuesta de identidad (ITDR), como Identity Trust, Identity Security Insights, pueden ayudarlo a identificar de manera proactiva las cuentas vulnerables a la querberoasting debido al uso inapropiado de los principales de servicio y la criptografía débil.

Las mediciones precisas y agresivas combinadas con modelos de detección más inteligentes, más inteligentes y conscientes del contexto son esenciales a medida que los equipos de seguridad continúan esforzándose por superar el ruido y mantenerse por delante de la complejidad y el crecimiento de la escala.

Sobre el autor:

Christopher Calbani, investigador asociado de seguridad, más allá de la confianza

Christopher Calbani es un investigador de seguridad del equipo de investigación más allá de la confianza, y combina la Investigación de Vulnerabilidad y la Ingeniería de Detección para ayudar a los clientes a mantenerse a la vanguardia de las nuevas amenazas. Recién graduado del Instituto de Tecnología de Rochester con BS de CyberseCurity, Christopher trabajó anteriormente como pasante en System Eninter, apoyando la gran infraestructura de Fidelity Investments y practicando prácticas avanzadas de Devsecops en Stavvy.

Científico clave de datos Kohl Soddja, más allá de la trust

Cole Sodja tiene más de 20 años de experiencia en estadísticas de aplicaciones en empresas tecnológicas líderes, incluidas Amazon y Microsoft, y es un científico de datos líder en Trust. Se especializa en el análisis de series de tiempo y aporta una profunda experiencia en los complejos desafíos comerciales de pronóstico, detección de puntos de cambio y monitoreo conductual.