Kerberoasting攻撃とは【用語集詳細】

カテゴリ
用語集 
タグ
用語集  用語集:英数字記号  Windows  サイバー攻撃・ハッキング  ネットワーク  用語集:K 

SOMPO CYBER SECURITY

B!
脆弱性診断サービスKerberoasting攻撃は、Windows Active Directoryで用いられているKerberos認証プロトコルに対する攻撃であり、オフライン環境を利用したKerberosサービスチケットに対するパスワードクラッキング攻撃です。
この攻撃は、標的のシステムに侵入した攻撃者が、さらにアクセス範囲を増大させる過程で用いられます。
パスワードクラッキングはActive Directoryとの通信を介さずオフラインで行われ、検知が困難である点が、攻撃者に多用されている理由です。
攻撃者は初めに、侵害したアカウントを通じてSPNService Principal Name、各サービスインスタンスの識別子)の一覧を入手します。
その後、攻撃者は、TGTを用いて、ドメインコントローラやWebサーバなどのSPNと紐づいたTGSサービスチケットを要求します。あるいは、ネットワークを盗聴することによりTGSサービスチケットを入手することもあります。
このTGSサービスチケット(暗号化されている)に対し、オフラインでのブルートフォース攻撃を行うことで、攻撃者は当該アカウントの平文パスワードを入手します。
入手した資格情報(パスワード)は、標的ネットワーク内の水平展開特権昇格持続性確保に用いられます。
Kerberoasting攻撃には、Rubeusなどの自動化ツールが既に存在します。TGSサービスチケット入手後のパスワード入手にはhashcatJohnTheRipperなどのクラッキングツールが使われています。
この攻撃方法は2014年、Tim Medin氏によって発見されました。


関連記事

(4/17更新有)Palo Alto Networks製品の脆弱性に対応してください(悪用中)

脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...

ハクティビストによるDDoS攻撃サービスInfraShutdownの利用

脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年3月 先般、自称ハクティビストグループであるAnonymous Sudanが新DDoS攻撃サービス「I...

Beastランサムウェア | マルチプラットフォーム対応のRaaS

脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年2月 2024年2月、ロシア語のダークウェブ・フォーラムXSSにおいてBeastランサムウェアの宣伝投...

親ロシア・グループの日本への攻撃(2024年2月)

脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年2月 2024年2月19日、親ロシアのハクティビスト・グループであるNoName057(16)が自身の...