El ataque Ghost SPN permite a los piratas informáticos realizar Kerberoasting sigiloso bajo el radar

Una evolución sofisticada de Kerberoasting denominada ataque “Ghost SPN” que permite a los adversarios extraer credenciales de Active Directory mientras borra todo rastro de su actividad, haciendo que los modelos de detección tradicionales ceguen efectivamente a la intrusión. Kerberoasting es una técnica posterior a la exploit bien documentada dirigida a cuentas de Active Directory (AD) registradas con nombres principales de servicio (SPN).

Cuando se solicita un ticket del Servicio de concesión de tickets (TGS) para un SPN, el Centro de distribución de claves (KDC) de Kerberos lo cifra con el hash NTLM de la cuenta de destino, que los atacantes pueden extraer y descifrar sin conexión para recuperar credenciales de texto sin formato. En lugar de enumerar cuentas de servicio preexistentes, los adversarios explotan los permisos de directorio delegados, como el acceso de escritura a nivel de objeto GenericAll, para asignar temporalmente un SPN falso a una cuenta de usuario normal. Esto convierte a un usuario estándar en un objetivo efímero de Kerberoasting sin tocar ninguna cuenta de servicio conocida, generando cero alertas basadas en enumeraciones en el proceso. El KDC, al ver una entidad de servicio válida, emite un ticket TGS cifrado con RC4-HMAC-MD5: comportamiento estándar de Kerberos sin ninguna anomalía visible a nivel de protocolo.

Cadena de ataque (Fuente: Trelix) Esta técnica socava directamente los modelos de detección construidos en torno a dos suposiciones erróneas: que los objetivos de Kerberoasting son siempre cuentas de servicio prerregistradas y que la actividad maliciosa produce anomalías en la solicitud de tickets de gran volumen. La publicación El ataque Ghost SPN permite a los piratas informáticos realizar Kerberoasting sigiloso bajo el radar apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗