内网渗透时针对AD域控的AS-REP Roasting攻击是什么？

据说 95%的财富 500 强企业都在使用Microsoft 的 Active Directory。因此，它是攻击者的主要目标，因为他们希望获得组织中的凭据的访问权限，因为受损凭据是黑客进行攻击的最简单方法之一。访问您的数据。

支持 Microsoft Active Directory 的一项关键身份验证技术是 Kerberos。不幸的是，黑客对 Active Directory 的 Kerberos 身份验证协议的实现使用了许多不同的攻击。其中之一是 AS-REP Roasting攻击。那么什么是 AS-REP Roasting攻击，企业如何保护自己？

什么是 Active Directory Kerberos？

Kerberos 最初由麻省理工学院 (MIT) 开发，主要围绕使用票证建立信任。Microsoft 在 Active Directory 中的 Kerberos 实现基于RFC 4120 中定义的 Kerberos 网络身份验证服务 (V5) 。但是，Microsoft 已通过其协议规范和若干扩展添加并增强了 Kerberos。

与 Microsoft Active Directory 中的一样，Kerberos 身份验证中包含三个不同的组件。这些包括：

• 客户端– 客户端是希望从 KDC 获取票证的实体
• 应用程序服务器– 需要提供已颁发票证以进行身份​​验证的资源
• 密钥分发中心 (KDC) – KDC 是颁发身份验证票证的受信任第三方。在 Microsoft Active Directory 中，KDC 是为 Active Directory 域提供服务的每个域控制器。

对于了解与 Active Directory 凭据盗窃相关的风险至关重要，Kerberos 是登录 Active Directory 域的 Windows 机器部分时使用的默认协议。自 Windows 2000 及更高版本以来，它一直是默认身份验证协议，取代 NTLM。两者之间有什么区别？

这两种协议以不同的方式管理身份验证。NTLM 身份验证协议依赖于三向握手。认证信息在客户端和服务器之间交换以对用户进行认证。相反，Kerberos 使用依赖于使用密钥分发中心 (KDC) 的票证授予服务的双向过程。

NTLM 使用密码散列，而 Kerberos 使用加密。虽然 Kerberos 是默认身份验证方法，但 NTLM 仍用作回退身份验证协议。如果无法使用 Kerberos 进行身份验证，则系统将使用 NTLM。

什么是 AS-REP Roasting攻击？

尽管 Kerberos 是比 NTLM 安全得多的身份验证协议，但它并非没有自己的一组漏洞，其中一些可能源于为 Active Directory 中的帐户配置的特定用户帐户设置。

Kerberos 身份验证的第一步是预身份验证。预认证使用用户的密码来加密时间戳。域控制器 (DC) 将对此进行解密以验证正确的密码，并且不会重播先前的请求。禁用预身份验证时可能会导致漏洞。

禁用此功能后，黑客可以为任何用户请求身份验证数据，DC 将返回加密的票证授予票证 (TGT)。然后可以使用它在离线环境中暴力破解密码。

可以在“帐户”选项下的“帐户”选项卡上的 Active Directory 中的任何用户帐户上禁用预身份验证。查找复选框“不需要 Kerberos 预身份验证” 。

使用 Rubeus 等工具，攻击者可以找到不需要预身份验证的帐户，然后提取票据授予票据 (TGT) 数据以离线破解密码。AS-REP Roasting攻击技术允许为在 Active Directory 中设置了此标志的用户检索密码哈希。此外，各种网络安全和黑客工具允许破解从 Active Directory 中获取的 TGT。其中包括 Rubeus 和 Hashcat。

数据可以转换成可以被Hashcat等离线工具破解的格式，它可以对哈希值使用暴力破解密码。此过程结合使用字典文件进行暴力密码猜测。

防止 AS-REP Roasting攻击

防止 AS-REP Roasting 攻击的一个明显方法是审核您的 Active Directory 环境并确保没有配置为“不需要 Kerberos 预身份验证”的帐户。

除了针对不正确配置的预身份验证审核您的 Active Directory 设置之外，您还希望确保用户需要使用强而复杂的密码。

此外，确保在被破坏的密码数据库中找不到密码也很重要，因为被破坏的密码列表被用来破解使用 AS-REP Roasting攻击提取的密码。在 Active Directory 中本机找不到被破坏的密码保护。因此，此类保护需要第三方解决方案。

注意事项

Active Directory 是当今组织中使用的第一大身份解决方案。不幸的是，他的手段攻击者主要针对 Active Directory 环境来寻找窃取凭据的方法。他们的攻击方法包括攻击 Active Directory 使用的身份验证协议，包括 Kerberos。AS-REP Roasting 是一种攻击类型，旨在寻找未为用户设置 Kerberos预身份验证标志的帐户。

一旦发现，黑客工具可用于暴力破解用户密码。组织可以保护自己的最佳方式之一是制定良好的密码策略以及破解密码保护，因为攻击者经常在 AS-REP Roasting攻击中使用破解密码数据库。