Kerberoastingは、Microsoft Active Directoryを狙った一般的な攻撃手法で、攻撃者がサービスアカウントを危険にさらすことが可能です。この攻撃では、正当なアカウントが悪用されるため、検知されにくいという特性があります。Kerberoastingは、標準のWindowsユーザーアカウントを利用して、サービス名(SPN)を持つアカウントのパスワードを解読することで、権限昇格を行います。
攻撃のプロセスは、ユーザーアカウントの取得からSPNを持つアカウントの特定、チケットの要求、オフラインでのパスワードハッシュの解読まで5つのステージに分かれています。この手法のリスクを低減するためには、強力なパスワードのポリシーを導入することが推奨されます。
具体的には、各SPNアカウントには長くランダムなパスワードを設定し、SPNアカウントの数を減らすために監査を行なうことが重要です。さらに、サービスアカウントの権限を制限し、Kerberosトラフィックを監視することで異常を早期に検知することも推奨されます。最後に、パスワードセキュリティを強化するために、多要素認証(MFA)の導入が望ましいとされています。
Read more
コメント