Un nuevo enfoque para un desafío de una década

Los expertos en seguridad han estado hablando de querberoasting durante más de una década, sin embargo, este ataque continúa evadiendo métodos de defensa típicos. ¿Por qué? Se debe a que las detecciones existentes se basan en la heurística frágil y las reglas estáticas, que no se resisten para detectar posibles patrones de ataque en el tráfico de Kerberos altamente variable. Con frecuencia generan falsos positivos o pierden ataques de «bajo y lento» por completo.

¿Existe una forma mejor y más precisa para que las organizaciones modernas detecten anomalías sutiles dentro del tráfico irregular de Kerberos? El equipo de investigación de Beyondtrust buscó responder a esta pregunta combinando ideas de investigación de seguridad con estadísticas avanzadas. Este artículo ofrece una mirada de alto nivel a las fuerzas impulsoras detrás de nuestra investigación y nuestro proceso de desarrollar y probar un nuevo marco estadístico para mejorar la precisión de la detección de anomalías de Kerberos y reducir los falsos positivos.

Una introducción a los ataques de querberoasting

Los ataques de kerberoasting aprovechan el protocolo de autenticación de la red Kerberos en los entornos de Windows Active Directory. El proceso de autenticación de Kerberos funciona de la siguiente manera:

1. As-Req: Un usuario inicia sesión y solicita un boleto de concesión de boletos (TGT).

2. AS-Rep: El servidor de autenticación verifica las credenciales del usuario y emite un TGT.

3. TGS-REQ: Cuando el usuario desea solicitar acceso a un servicio, solicita un boleto de servicio de concesión de boletos (TGS) utilizando el TGT recibido anteriormente. Esta acción se registra como Windows Event 4769⁽¹⁾ en el controlador de dominio.

4. TGS-Rep: El TGS verifica la solicitud y emite un TGS, que está encriptado utilizando el hash de contraseña de la cuenta de servicio asociada con el servicio solicitado.

5. KRB-AP-REQ: Para que el usuario se autentique un servicio que utiliza el ticket TGS, lo envía al servidor de aplicaciones, que luego toma varias acciones para verificar la legitimidad del usuario y permitir el acceso al servicio solicitado.

Los atacantes tienen como objetivo explotar este proceso porque los boletos de servicio Kerberos están encriptados con el hash de la contraseña de la cuenta de servicio. Para aprovechar los boletos de Kerberos, los atacantes primero aprovechan LDAP (Protocolo de acceso de directorio liviano) para consultar el directorio de cualquier cuenta de anuncios que tenga nombres principales de servicio (SPN) asociados con ellos. Luego, un atacante solicitará boletos de Servicio de Concectiva (TGS) para estas cuentas, que se pueden hacer sin ningún derecho administrativo. Una vez que hayan solicitado estos boletos de servicio, pueden descifrar el hash fuera de línea para descubrir las credenciales de la cuenta de servicio. El acceso a una cuenta de servicio puede permitir que el atacante se mueva lateralmente, aumente los privilegios o exfiltrate los datos.

Las deficiencias de los métodos heurísticos típicos

Muchas organizaciones tienen métodos de detección basados en heurística para marcar el comportamiento irregular de Kerberos. Un método común es la detección basada en el volumen, que puede marcar un aumento en la actividad de solicitud de TGS desde una sola cuenta. Si un atacante solicita boletos TGS para todos los nombres principales del servicio que puede encontrar usando LDAP, este método de detección probablemente identificará este pico como actividad sospechosa. Otro método, el análisis de tipo de cifrado, puede detectar si un atacante intenta degradar el cifrado de los boletos TGS solicitados de los EA predeterminados a un tipo más débil, como RC4 o DES, con la esperanza de facilitar su propio trabajo cuando comienzan a descifrar el hash.

Si bien ambos métodos basados en reglas estáticas pueden funcionar en algunos casos, producen un número notorio de falsos positivos. Además, no tienen en cuenta los comportamientos e irregularidades del usuario exclusivos de las configuraciones de dominio de cada organización.

Un modelo estadístico para detectar ataques de querberoasting

Con estas limitaciones en mente, el Equipo de Investigación Beyondtrust buscó encontrar un método que mejore las capacidades de detección de anomalías y reduzca falsos positivos. Descubrimos que el modelado estadístico es el mejor método, en el que se crearía un modelo que podría estimar la distribución de probabilidad basada en patrones de datos contextuales. La capacidad de predecir el comportamiento normal del usuario sería clave para marcar cualquier anomalía.

Nuestro equipo presentó cuatro restricciones para nuestro posible modelo estadístico, basado en la investigación existente de Kerberoasting^{(2, 3)}:

1. Explicación: La capacidad de interpretar el resultado con respecto a una medida reconocida, normalizada y fácil de explicar y rastrear.
2. Incertidumbre: La capacidad de reflejar el tamaño de la muestra y la confianza en las estimaciones, en oposición a que la salida es un simple indicador binario.
3. Escalabilidad: La capacidad de limitar la cantidad de computación en la nube y almacenamiento de datos necesarios para actualizar los parámetros del modelo por ejecución.
4. No estacionaridad: La capacidad de adaptarse a las tendencias u otros cambios de datos a lo largo del tiempo e incorporar estos cambios en cómo se definen las anomalías

El Equipo de Investigación de Beyondtrust trabajó para construir un modelo que se alineara con las restricciones anteriores, eventualmente desarrollando un modelo que agrupa patrones similares a la solicitud de boletos en grupos distintos y luego utiliza contenedores de histograma para rastrear la frecuencia de ciertos niveles de actividad a lo largo del tiempo. Meta: para aprender cómo se ve ‘normal’ para cada clúster. Nuestro objetivo fue reducir los falsos positivos al agrupar estos patrones de datos similares, ya que los eventos que podrían parecer sospechosos de forma aislada serían normales en comparación con patrones de datos similares.

Modelo estadístico de Kerberoasting: resultados

Luego, el equipo probó el modelo en 50 días de datos o aproximadamente 1,200 períodos de evaluación por hora. Los resultados del modelo son los siguientes:

• Los tiempos de procesamiento logrados constantemente por debajo de 30 segundos, incluidas las actualizaciones de histogramas, las operaciones de agrupación, los cálculos de puntaje, la clasificación de percentiles y el almacenamiento de resultados.
• Identificó seis anomalías con patrones temporales notables, como picos no correlacionados en ventanas de tiempo estrecho, mayor varianza y cambios temporales significativos. Dos fueron identificados como pruebas de penetración, una fue el ataque de kerberoasting simulado del equipo, y tres estaban relacionados con grandes cambios en la infraestructura de Active Directory que causaron picos inadvertidos en las solicitudes de boletos de servicio de Kerberos.
• Manejó la variabilidad extrema en las cuentas de cola pesada excepcionalmente bien, puntajes de anomalías apropiadamente descendentes después de observar solo dos picos consecutivos a través de actualizaciones dinámicas de ventanas deslizantes y clasificación de percentiles en tiempo real. Este nivel de adaptabilidad es notablemente más rápido que los métodos de detección de anomalías estándar.

Después de realizar esta investigación, el equipo de investigación de Beyondtrust pudo informar el éxito temprano al combinar la experiencia en seguridad con técnicas estadísticas avanzadas. Debido a que existen limitaciones inherentes de metodologías de detección de anomalías puras, la colaboración entre expertos en seguridad y ciencia de datos fue necesaria para este éxito. Si bien los estadísticos pueden crear un modelo adaptativo que tenga en cuenta los comportamientos variables, los investigadores de seguridad pueden ofrecer el contexto necesario para identificar características notables dentro de los eventos marcados.

Conclusión

En total, esta investigación demuestra que, incluso cuando se considera patrones de ataque de una década como la querberoasting, hay caminos claros hacia adelante en la iteración y evolución de las capacidades de detección y respuesta. Además de considerar las posibilidades de nuevas capacidades de detección, como las descritas en esta investigación, los equipos también deben evaluar las medidas de seguridad de identidad proactiva que reducen los riesgos de querberoasting antes de que ocurran.

Algunas soluciones con capacidades de detección y respuesta de amenazas de identidad (ITDR), como las ideas de seguridad de identidad más allá de la trust, pueden ayudar a los equipos a identificar de manera proactiva las cuentas que son vulnerables a la querberoasting debido al uso inadecuado de los directores de servicio y el uso de cifrados débiles.

Las medidas precisas y proactivas, combinadas con modelos de detección más inteligentes y conscientes del contexto, son esenciales a medida que los equipos de seguridad trabajan continuamente para reducir el ruido y mantenerse por delante de la creciente complejidad y escala.

Sobre los autores:

Christopher Calvani, investigador asociado de seguridad, más allá de la trust

Christopher Calvani Es un investigador de seguridad en el equipo de investigación de BeyondTrust, donde combina investigación de vulnerabilidad con ingeniería de detección para ayudar a los clientes a mantenerse a la vanguardia de las amenazas emergentes. Un recién graduado del Instituto de Tecnología de Rochester con una BS en ciberseguridad, Christopher previamente apoyó la infraestructura a gran escala en Fidelity Investments como prácticas de Ingenieros de Sistemas y Prácticas Avanzadas de Devsecops en Stavvy.

Cole Sodja, científico principal de datos, más allá de la trust

Sodio de cole es un científico principal de datos en Beyondtrust con más de 20 años de experiencia en estadísticas aplicadas en las principales empresas de tecnología, incluidas Amazon y Microsoft. Se especializa en el análisis de series de tiempo, brindando una profunda experiencia en el pronóstico, la detección de puntos de cambio y el monitoreo de comportamiento a los complejos desafíos comerciales.