18.8 C
Madrid
jueves, octubre 23, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

Un nuevo enfoque para un desafío de una década

Por Conectamentado
12
Un nuevo enfoque para un desafío de una década

Los expertos en seguridad han estado hablando de querberoasting durante más de una período, sin confiscación, este ataque continúa evadiendo métodos de defensa típicos. ¿Por qué? Se debe a que las detecciones existentes se basan en la heurística frágil y las reglas estáticas, que no se resisten para detectar posibles patrones de ataque en el tráfico de Kerberos en gran medida variable. Con frecuencia generan falsos positivos o pierden ataques de «bajo y tardo» por completo.

¿Existe una forma mejor y más precisa para que las organizaciones modernas detecten anomalías sutiles en el interior del tráfico irregular de Kerberos? El equipo de investigación de Beyondtrust buscó replicar a esta pregunta combinando ideas de investigación de seguridad con estadísticas avanzadas. Este artículo ofrece una vistazo de stop nivel a las fuerzas impulsoras detrás de nuestra investigación y nuestro proceso de desarrollar y probar un nuevo ámbito estadístico para mejorar la precisión de la detección de anomalías de Kerberos y compendiar los falsos positivos.

Una preparación a los ataques de querberoasting

Los ataques de kerberoasting aprovechan el protocolo de autenticación de la red Kerberos en los entornos de Windows Active Directory. El proceso de autenticación de Kerberos funciona de la ulterior forma:

1. As-Req: Un afortunado inicia sesión y solicita un boleto de concesión de boletos (TGT).

2. AS-Rep: El servidor de autenticación verifica las credenciales del afortunado y emite un TGT.

3. TGS-REQ: Cuando el afortunado desea solicitar llegada a un servicio, solicita un boleto de servicio de concesión de boletos (TGS) utilizando el TGT recibido anteriormente. Esta movimiento se registra como Windows Event 4769(1) en el regulador de dominio.

4. TGS-Rep: El TGS verifica la solicitud y emite un TGS, que está encriptado utilizando el hash de contraseña de la cuenta de servicio asociada con el servicio solicitado.

5. KRB-AP-REQ: Para que el afortunado se autentique un servicio que utiliza el ticket TGS, lo envía al servidor de aplicaciones, que luego toma varias acciones para repasar la legalidad del afortunado y permitir el llegada al servicio solicitado.

Los atacantes tienen como objetivo explotar este proceso porque los boletos de servicio Kerberos están encriptados con el hash de la contraseña de la cuenta de servicio. Para emplear los boletos de Kerberos, los atacantes primero aprovechan LDAP (Protocolo de llegada de directorio ligero) para consultar el directorio de cualquier cuenta de anuncios que tenga nombres principales de servicio (SPN) asociados con ellos. Luego, un atacante solicitará boletos de Servicio de Concectiva (TGS) para estas cuentas, que se pueden hacer sin ningún derecho oficial. Una vez que hayan solicitado estos boletos de servicio, pueden descifrar el hash fuera de crencha para descubrir las credenciales de la cuenta de servicio. El llegada a una cuenta de servicio puede permitir que el atacante se mueva lateralmente, aumente los privilegios o exfiltrate los datos.

LEER  Google identifica tres nuevas familias rusas de malware creadas por hackers de COLDRIVER

Las deficiencias de los métodos heurísticos típicos

Muchas organizaciones tienen métodos de detección basados en heurística para marcar el comportamiento irregular de Kerberos. Un método popular es la detección basada en el prominencia, que puede marcar un aumento en la actividad de solicitud de TGS desde una sola cuenta. Si un atacante solicita boletos TGS para todos los nombres principales del servicio que puede encontrar usando LDAP, este método de detección probablemente identificará este pico como actividad sospechosa. Otro método, el investigación de tipo de enigmático, puede detectar si un atacante intenta degradar el enigmático de los boletos TGS solicitados de los EA predeterminados a un tipo más débil, como RC4 o DES, con la esperanza de simplificar su propio trabajo cuando comienzan a descifrar el hash.

Si admisiblemente entreambos métodos basados en reglas estáticas pueden funcionar en algunos casos, producen un número palpable de falsos positivos. Por otra parte, no tienen en cuenta los comportamientos e irregularidades del afortunado exclusivos de las configuraciones de dominio de cada ordenamiento.

Un maniquí estadístico para detectar ataques de querberoasting

Con estas limitaciones en mente, el Equipo de Investigación Beyondtrust buscó encontrar un método que mejore las capacidades de detección de anomalías y reduzca falsos positivos. Descubrimos que el modelado estadístico es el mejor método, en el que se crearía un maniquí que podría estimar la distribución de probabilidad basada en patrones de datos contextuales. La capacidad de predecir el comportamiento habitual del afortunado sería esencia para marcar cualquier anomalía.

Nuestro equipo presentó cuatro restricciones para nuestro posible maniquí estadístico, basado en la investigación existente de Kerberoasting(2, 3):

  1. Explicación: La capacidad de interpretar el resultado con respecto a una medida reconocida, normalizada y viable de explicar y rastrear.
  2. Incertidumbre: La capacidad de reflectar el tamaño de la muestra y la confianza en las estimaciones, en concurso a que la salida es un simple indicador binario.
  3. Escalabilidad: La capacidad de confinar la cantidad de computación en la nimbo y almacenamiento de datos necesarios para renovar los parámetros del maniquí por ejecución.
  4. No estacionaridad: La capacidad de adaptarse a las tendencias u otros cambios de datos a lo derrochador del tiempo e incorporar estos cambios en cómo se definen las anomalías
LEER  10 hallazgos de la red crítica Los hallazgos de TI pasan por alto

El Equipo de Investigación de Beyondtrust trabajó para construir un maniquí que se alineara con las restricciones anteriores, eventualmente desarrollando un maniquí que agrupa patrones similares a la solicitud de boletos en grupos distintos y luego utiliza contenedores de histograma para rastrear la frecuencia de ciertos niveles de actividad a lo derrochador del tiempo. Meta: para instruirse cómo se ve ‘habitual’ para cada clúster. Nuestro objetivo fue compendiar los falsos positivos al agrupar estos patrones de datos similares, ya que los eventos que podrían parecer sospechosos de forma aislada serían normales en comparación con patrones de datos similares.

Maniquí estadístico de Kerberoasting: resultados

Luego, el equipo probó el maniquí en 50 días de datos o aproximadamente 1,200 períodos de evaluación por hora. Los resultados del maniquí son los siguientes:

  • Los tiempos de procesamiento logrados constantemente por debajo de 30 segundos, incluidas las actualizaciones de histogramas, las operaciones de agrupación, los cálculos de puntaje, la clasificación de percentiles y el almacenamiento de resultados.
  • Identificó seis anomalías con patrones temporales notables, como picos no correlacionados en ventanas de tiempo íntimo, anciano varianza y cambios temporales significativos. Dos fueron identificados como pruebas de penetración, una fue el ataque de kerberoasting simulado del equipo, y tres estaban relacionados con grandes cambios en la infraestructura de Active Directory que causaron picos inadvertidos en las solicitudes de boletos de servicio de Kerberos.
  • Manejó la variabilidad extrema en las cuentas de huesito dulce pesada excepcionalmente admisiblemente, puntajes de anomalías apropiadamente descendentes luego de observar solo dos picos consecutivos a través de actualizaciones dinámicas de ventanas deslizantes y clasificación de percentiles en tiempo verdadero. Este nivel de adaptabilidad es notablemente más rápido que los métodos de detección de anomalías unificado.

A posteriori de realizar esta investigación, el equipo de investigación de Beyondtrust pudo informar el éxito temprano al combinar la experiencia en seguridad con técnicas estadísticas avanzadas. Adecuado a que existen limitaciones inherentes de metodologías de detección de anomalías puras, la colaboración entre expertos en seguridad y ciencia de datos fue necesaria para este éxito. Si admisiblemente los estadísticos pueden crear un maniquí adaptativo que tenga en cuenta los comportamientos variables, los investigadores de seguridad pueden ofrecer el contexto necesario para identificar características notables en el interior de los eventos marcados.

LEER  Los fallas de Wormable AirPlay habilitan RCE de clic cero en dispositivos Apple a través de Wi-Fi público

Conclusión

En total, esta investigación demuestra que, incluso cuando se considera patrones de ataque de una período como la querberoasting, hay caminos claros alrededor de delante en la iteración y crecimiento de las capacidades de detección y respuesta. Por otra parte de considerar las posibilidades de nuevas capacidades de detección, como las descritas en esta investigación, los equipos incluso deben evaluar las medidas de seguridad de identidad proactiva que reducen los riesgos de querberoasting antiguamente de que ocurran.

Algunas soluciones con capacidades de detección y respuesta de amenazas de identidad (ITDR), como las ideas de seguridad de identidad más allá de la trust, pueden ayudar a los equipos a identificar de forma proactiva las cuentas que son vulnerables a la querberoasting correcto al uso inadecuado de los directores de servicio y el uso de cifrados débiles.

Las medidas precisas y proactivas, combinadas con modelos de detección más inteligentes y conscientes del contexto, son esenciales a medida que los equipos de seguridad trabajan continuamente para compendiar el ruido y mantenerse por delante de la creciente complejidad y escalera.

Sobre los autores:

Christopher Calvani, investigador asociado de seguridad, más allá de la trust

Christopher Calvani Es un investigador de seguridad en el equipo de investigación de BeyondTrust, donde combina investigación de vulnerabilidad con ingeniería de detección para ayudar a los clientes a mantenerse a la vanguardia de las amenazas emergentes. Un recién reconocido del Instituto de Tecnología de Rochester con una BS en ciberseguridad, Christopher previamente apoyó la infraestructura a gran escalera en Fidelity Investments como prácticas de Ingenieros de Sistemas y Prácticas Avanzadas de Devsecops en Stavvy.

Cole Sodja, investigador principal de datos, más allá de la trust

Sodio de cole es un investigador principal de datos en Beyondtrust con más de 20 abriles de experiencia en estadísticas aplicadas en las principales empresas de tecnología, incluidas Amazon y Microsoft. Se especializa en el investigación de series de tiempo, brindando una profunda experiencia en el pronóstico, la detección de puntos de cambio y el monitoreo de comportamiento a los complejos desafíos comerciales.

Referencias

  1. ID de evento 4769: se solicitó un boleto de servicio de Kerberos (Microsoft Learn)
  2. Autenticación de Kerberos en Windows: una piloto habilidad para analizar el intercambio TGT (Semantic Scholar PDF)
  3. Detección basada en Kerberos del movimiento contiguo en entornos de Windows (documento de conferencia Scitepress 2020)

spot_img
Artículo anterior
Cómo abrir el Administrador de dispositivos en Windows
Artículo siguiente
Uber finalmente lanza la función para priorizar la seguridad de las mujeres
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado