 描述
敌人获得(即抢断或者购买)合法Kerberos凭证(例如Kerberos服务帐户的用户id /密码或Kerberos票据)的目的,实现身份验证的方式访问额外的系统、应用程序或服务领域内。
扩展描述
Kerberos是默认的Windows域身份验证方法,也用在许多操作系统。攻击利用可信Kerberos凭证会导致很多后果,取决于Kerberos凭证是偷来的。例如,Kerberos服务帐户通常用于运行服务或计划任务与身份验证。然而,这些凭证通常是软弱和永远不到期,除了拥有本地或域管理员特权。如果敌人能够获得这些证书,它可能导致横向运动在域或访问任何资源服务帐户特权访问,等等。最终成功的欺骗和模拟的可信Kerberos凭证可以导致敌人打破身份验证、授权和审计控制与目标系统或应用程序。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
560年 |
使用已知的域凭据 |
| ParentOf |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
509年 |
Kerberoasting |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
645年 |
使用捕获的门票(通过票) |
| 光束 |
 标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
157年 |
嗅探攻击 |
| CanPrecede |
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
151年 |
身份欺骗 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
获得Kerberos凭证:已知的对手必须获得Kerberos凭证为了访问目标系统,应用程序,或服务领域内。
| 技术 |
| 敌人购买了Kerberos服务帐户用户名/密码组合或哈希密码泄露从黑暗的网络。 |
| 敌人猜测疲软的Kerberos服务帐户的凭证。 |
| 敌人进行嗅探攻击窃取Kerberos票据传送。 |
| 敌人进行Kerberoasting攻击。 |
实验
尝试Kerberos身份验证:尝试每一个Kerberos凭证对域内的各种资源,直到目标授予访问权限。
| 技术 |
| 手动或自动进入每一个Kerberos服务帐户凭据通过目标的接口。 |
| 尝试通过票攻击。 |
利用
模拟:敌人可以使用成功的实验或认证来模拟一个授权的用户或系统,或横向移动领域 欺骗:恶意数据可以注入到目标系统或其他系统的域。敌人也可以冒充一个合法的域用户执行社会工程攻击。 数据漏出:敌人可以获得敏感数据包含在域系统或应用程序。
先决条件
| 系统/应用程序利用Kerberos身份验证。 |
| 基于密码的身份验证系统/应用程序使用一个因素,为Kerberos SSO和/或基于云的身份验证服务帐户。 |
| 系统/应用程序没有一个良好的密码策略,实施对Kerberos服务帐户。 |
| 系统/应用程序没有实现一个有效的密码节流机制Kerberos服务帐户进行身份验证。 |
| 目标网络允许网络嗅探攻击成功。 |
技能要求
|
(等级:低) 一旦敌人获得一个已知的Kerberos凭证,利用它是微不足道的。 |
所需资源
| 一个有效的Kerberos票据或已知的Kerberos服务帐户凭据。 |
指标
| 身份验证尝试使用过期或无效的凭证。 |
| 身份验证尝试来自IP地址或位置不符合一个帐户是正常的IP地址或位置。 |
| 数据被转移和/或从系统/应用程序在网络中删除。 |
| 可疑或恶意软件下载/安装在系统内的域。 |
| 消息从一个合法的用户似乎含有可疑的链接或通信不符合用户的正常行为。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
访问控制
身份验证 |
获得特权 |
|
|
保密
授权 |
读取数据 |
|
|
完整性 |
修改数据 |
|
缓解措施
| 创建强密码策略,并确保您的系统实施这一政策为Kerberos服务帐户。 |
| 确保Kerberos服务帐户不重用用户名/密码组合多个系统,应用程序或服务。 |
| 不跨系统重用Kerberos服务帐户凭据。 |
| 否认远程使用Kerberos服务帐户凭据登录到域系统。 |
| 不允许Kerberos服务帐户是一个本地管理员在多个系统。 |
| 启用Kerberos至少AES加密买票。 |
| 监控系统和领域为异常的凭据访问日志。 |
例子,实例
| 青铜巴特勒(也称为蜱虫),已经证明利用伪造的Kerberos票据授予票(tgt)和票据授予服务(TGS)门票维护管理访问的系统。(ref - 584] |
| PowerSploit Invoke-Kerberoast模块可用于请求票据授予服务(TGS)门票和回报会裂开的票散列。(ref - 585][ref - 586] |
笔记
其他
Kerberos围绕一个票务系统,用于请求/授权访问资源,然后访问所请求的资源。如果获得其中一个门票,敌人可以获得一个特定的资源;访问任何资源用户的权限访问;获得服务,使用Kerberos身份验证机制和生成门票访问特定资源和主机的系统资源;或生成票据授予票(tgt)任何在Active Directory域帐户。
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
| 条目ID |
条目名称 |
| 1558年 |
偷窃或伪造Kerberos票据 |
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,笔记,Related_Attack_Patterns |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Extended_Description,先决条件 |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
