Het aantal Kerberoasting-identiteitsaanvallen is het afgelopen jaar bijna verzesvoudigd. Legitieme RMM-tools worden dan weer drie keer zoveel ingezet door hackers. Deze trends lijken vooral aan te tonen dat hackers naar wegen zoeken om langer ongezien in een bedrijfsnetwerk te kunnen rotzooien.
Identiteitsgebaseerde inbraken vallen steeds meer in de smaak bij hackers. Afgelopen jaar zijn zo het aantal Kerberoasting-identiteitsaanvallen gestegen met 583 procent. Dit blijkt uit het CrowdStrike 2023 Threat Hunting Report, waarin cyberaanvallen tussen juli 2022 en juni 2023 worden geanalyseerd die door CrowdStrike’s “elite threat hunters” en informatieanalysten werden opgemerkt.
AD-inloggegevens verkrijgen
Het doel van een Kerberoasting-aanval is het verkrijgen van de inloggegevens voor Active Directory (AD)-serviceaccounts. Kerberos is een type authenticatie dat werkt via een uniek identificatiemiddel dat gekoppeld zit aan de Network Controller-service instantie. Dit identificatiemiddel wordt ook een Service Principal Name (SPN) genoemd.
Hackers vragen in een Kerberoasting-aanval een Kerberos-ticket op voor een SPN via een geautoriseerde domeingebruiker. Het Kerberos-ticket is versleuteld, maar hackers proberen dit mechanisme te kraken om het wachtwoord te verkrijgen van het serviceaccount.
Aangezien de hacker dan op een legitieme manier kan inloggen op een AD-serviceaccount, blijft de inbraak veelal onder de radar van IT-teams. Veel traditionele beveiligingstools controleren het gedrag van geautoriseerde gebruikers niet, wat bij een Kerberoating-aanval in het voordeel van de hacker werkt. In totaal werd bij 62 procent van alle interactieve inbraken misbruik gemaakt van geldige accounts. Bovendien geeft het hackers meer mogelijkheden, doordat ze vaak meer rechten krijgen die aan het account gekoppeld zitten.
Het rapport geeft enkele tips mee om dit type aanval sneller te detecteren. Zo is het verstandig om regelmatig Windows Event-logs na te kijken om na te gaan of een hoog aantal inlogpogingen elkaar opvolgden. Vervolgens kijk je beter uit naar Kerberos-netwerkverkeer met RC4-encryptie; dit type encryptie is namelijk onveilig. Tot slot is het belangrijk dat alle accounts voorzien zijn van een sterk wachtwoord.
Detectie omzeilen als doel
Een andere opvallende trend waar het rapport op wijst is de verdrievoudiging in het gebruik van legitieme RMM (Remote Monitoring & Management)-tools. Deze tools wordt ingezet door managed service providers (MSP’s) om de IT-omgevingen van klanten te kunnen monitoren en beheren. Dit is voor hackers opnieuw erg interessant om detectie te omzeilen en op te gaan in de ruis van de onderneming. Mogelijke vervolgstappen na de initiële inbraak zijn het stelen van gevoelige gevens, de implementatie van ransomware of het installeren van op maak gemaakt opvolgingstactieken.
Het onderzoek bevestigt bevestigt zo de bevindingen van CISA. Dat Amerikaanse orgaan waarschuwde begin dit jaar al dat “cybercriminelen elke legitieme RMM-software met kwade bedoelingen kunnen gebruiken.” De waarschuwing volgde op de ontdekking van een wijdverspreide cybercampagne waarbij cybercriminelen phishingmails stuurden om gebruikers zogezegd RMM-software te laten downloaden.
Hackers opereren sneller
Hackers proberen zeker niet langer onopgemerkt te blijven omdat ze die tijd werkelijk nodig hebben. De gemiddelde tijd die een aanvaller nodig heeft van de oorspronkelijke aanval naar andere hosts in de omgeving van het slachtoffer te gaan daalde opnieuw onder het vorige laagste punt ooit. Het gemiddelde komt nu te liggen op 79 minuten in 2023. Daarnaast werd de snelste breakout tijd van het jaar geregistreerd op slechts zeven minuten.
“Wanneer we het hebben over het stoppen van inbreuken, dan kunnen we er niet omheen dat tegenstanders steeds sneller worden en dat ze tactieken gebruiken die opzettelijk zijn ontworpen om traditionele detectiemethoden te omzeilen. Security-leiders moeten hun teams dan ook de vraag stellen of ze over de juiste oplossingen beschikken om laterale bewegingen van een aanvaller in slechts zeven minuten te stoppen”, zegt Adam Meyers, hoofd van Counter Adversary Operations bij CrowdStrike.
Tip: Inloggegevens zijn de voornaamste ingang voor hackers naar je cloud