Аннотация

Аннотация: Цели. Протокол Керберос является фундаментальным механизмом аутентификации в корпоративных сетях, поэтому он регулярно подвергается атакам со стороны злоумышленников. Одними из самых опасных являются атаки типа «золотой» и «серебряный» билет. При их реализации атакующий использует поддельные билеты, полученные в обход стандартного процесса аутентификации, предусмотренного протоколом. Учитывая, что современные методы противодействия подобным угрозам не обеспечивают должной защиты, поскольку они основаны на анализе уже произошедших событий, необходима возможность своевременно обнаружить их и нейтрализовать. Цель работы – детектирование атак типа «золотой» и «серебряный» билет путем анализа содержимого поддельных билетов, генерируемых злоумышленниками, на этапе их первичного использования. Для выявления аномалий в билетах, позволяющих сделать вывод об их нелегитимности, необходимо построить автоматическую систему. Методы. Для достижения поставленной цели выполнен анализ функционала программных средств, предназначенных для генерации поддельных билетов, таких как, Mimikatz, с целью понимания принципов их работы. Также осуществлен анализ содержимого различных нелегитимных билетов для выявления аномальных закономерностей. На основе выявленных особенностей определены достаточные критерии, по которым выполняется анализ дли обнаружения подозрительных аутентификаций в системе с использованием детерминированного метода. Результаты. Выявлены несколько аномалий, наличие которых в билете однозначно свидетельствует о его нелегитимности, а также одна аномалия, требующая дополнительный анализ для вынесения вердикта. Описана абстрактная система, использующая детерминированный метод для обнаружения поддельных билетов, включая некоторые детали реализации. Выводы. Все выявленные логические несоответствия, характерные для поддельных билетов, возникают вследствие неспособности атакующих точно воспроизвести оригинальную структуру целевого домена. Причиной этому является то, что каждый домен формируется на основе уникальных характеристик, присущих конкретной инфраструктуре, таких как, иерархия пользователей и групп, настройки служб или политики безопасности. Несмотря на очевидность и простоту ошибок в поддельных билетах, они позволят наверняка обнаружить подозрительную аутентификацию и предотвратить негативные последствия, вызванные атакой на протокол.