悪意のあるアクターは、常に自分の利益のためにセキュリティを侵害する方法を見つけようとしています。これを実現するために、多くの人がネットワークセキュリティ内の認証プロセスを標的にしています。攻撃者は、自分で使用するために認証情報を偽造または変更することにより、企業の個人情報にアクセスできるようになります。
この認証を取得する1つの方法は、シルバーチケット攻撃です。ゴールデンチケット攻撃と同様に、シルバーチケット攻撃はKerberosプロトコルを利用して認証情報を侵害します。シルバーチケット攻撃の防止と対応は、すべての企業が取るべき重要なセキュリティ対策です。
シルバーチケット攻撃とは
サイバーセキュリティ用のチケットは、認証または承認の証明としてネットワークサーバーによって作成される番号です。シルバーチケットは、攻撃者がアカウントのパスワードを盗んだときに作成されることが多い偽造認証チケットです。シルバーチケット攻撃は、この認証を使用して、チケット保証サービスチケットを偽造します。偽造したサービスチケットは暗号化され、シルバーチケット攻撃の標的となった特定のサービスのリソースにアクセスできます。
シルバーチケット攻撃が他の種類のチケット攻撃と共有しているのは、Kerberosの脆弱性の悪用です。これはKerberoastingと呼ばれ、秘密鍵暗号を使用してサービスリクエストを認証するネットワークセキュリティプロトコルであるKerberosをエクスプロイトして、Microsoft Active Directoryのユーザーアカウントのパスワードハッシュを収集します。シルバーチケット攻撃に加えて、ゴールデンチケット攻撃およびダイヤモンドチケット攻撃もこの脆弱性を利用します。
ダイヤモンドチケット攻撃では、攻撃者が使用するために本物のチケット認可チケットの暗号化を解除して再暗号化できます。ゴールデンチケット攻撃は、攻撃者に標的ドメインへのフルアクセスを与えます。シルバーチケットは、その使用においてより限定的ですが、それでも悪意のある攻撃者にとって危険なツールです。
シルバーチケット攻撃の仕組み
シルバーチケット攻撃を実行するには、攻撃者はシステム環境で侵害された標的をすでに制御している必要があります。この最初の侵害は、あらゆる形態のサイバー攻撃やマルウェアで発生する可能性があります。攻撃者が侵入すると、シルバーチケット攻撃はステップバイステップのプロセスに従って権限付与の認証情報を偽造します。
ステップ1. ドメインと標的のローカルサービスに関する情報を収集します。これには、ドメインセキュリティ識別子と、攻撃対象のサービスのDNS名の検出が含まれます。
ステップ2. ツールを使用して、KerberosサービスのローカルNTLMハッシュまたはパスワードハッシュを取得します。NTLMハッシュは、侵害したシステムのローカルサービスアカウントまたはセキュリティアカウントマネージャーから収集できます。
ステップ3. Kerberoastingを使用して、NTLMハッシュから暗号化されていないパスワードを取得します。
ステップ4. Kerberosチケット保証サービスを偽造して、攻撃者が標的となるサービスを認証できるようにします。
ステップ5. 攻撃者の目的に応じて、金銭的利益のために、またはシステムをさらに破壊するために偽造したチケットを使用します。
攻撃者は、偽造されたシルバーチケットを取得すると、標的のローカルシステムとしてコードを実行できます。その後、ローカルホスト上で権限を昇格させ、侵害した環境内でラテラルムーブメントを開始し、さらにはゴールデンチケットの作成まで行います。これにより、最初の標的だったサービスよりも多くの対象にアクセスできるようになります。これはサイバーセキュリティ防止対策を回避する戦術です。
シルバーチケット攻撃の防止
シルバーチケット攻撃などの認証情報ダンピング攻撃は、どのように防ぐのでしょうか?攻撃者がパスワード情報を取得できないようにすること、または偽造されたチケットが提供できるアクセスを制限することができます。Kerberoastingが成功しないようにするために、メモリに保持されているデータを暗号化するソフトウェアを開発者に作成させることができます。また、保存されているパスワードなどの機密情報を頻繁に消去するメソッドを構築することもできます。
ユーザーの最小特権モデルを適用して管理者アクセスを制限し、ドメイン管理者アカウントの数を制限すると、シルバーチケット攻撃のエスカレーションを防ぐことができます。サービスアカウントを監査および強化することで、パスワードを発見しにくくし、ネットワーク全体で共有されないようにすることができます。最後に、Kerberosプロトコルを検証し、チケットが正当な鍵の配布者によって発行されたことを確認します。
Kerberosプロトコルは、依然として暗号化、秘密鍵、およびサードパーティの承認を使用する最も安全な検証プロトコルの1つです。Kerberosシルバーチケットの防止と対応は、攻撃者に対するセキュリティを維持するために必要です。
シルバーチケット攻撃の軽減と対応
シルバーチケット攻撃は、Active Directoryのセキュリティを侵害する可能性があるため、危険な場合があります。攻撃者がActive Directoryにアクセスした場合、ほとんどのサイバーセキュリティ対策をバイパスできます。シルバーチケット攻撃にどのように対応するかによって、企業への影響をどの程度軽減できるかが決まります。
シルバーチケット攻撃が発生した後は、サイバーセキュリティチームの即時対応が必要です。この対応には、以下のいくつかの質問をし、その回答に基づいてセキュリティ対策を強化することが含まれます。
- 攻撃者はどのようにしてネットワークにアクセスしましたか?フィッシング攻撃やその他のセキュリティ違反でしたか?
- 攻撃者はどのアカウントを標的にしましたか?そのアカウントのセキュリティ対策は、企業全体の他のアカウントと一致していますか?
- 攻撃者はどのような情報にアクセスしましたか?この情報が悪意のあるアクターの手に渡ると、どのような結果になりますか?
- 侵害されたアセットは何ですか?攻撃は最初に標的とされたサービスに限定されましたか、それともActive Directoryにアクセスされましたか?
これらの質問に対する答えがわかれば、サイバーセキュリティチームは対策を講じることができます。シルバーチケット攻撃の被害を軽減する他の方法は次のとおりです。
- Kerberosの特権属性証明書の検証を有効にします。これは、シルバーチケットの防止と検知に役立ちます。
- パスワードサービスを使用して、ランダムで強力な一意のパスワードを作成します。例えば、パスワードは30文字以上で、頻繁に変更します。
- ユーザーには、セキュリティ境界を越えた管理者特権を持つことを許可しません。これにより、最初に標的にされたサービスを放置することによって、シルバーチケット攻撃で権限昇格が発生するのを防ぎます。
適切なアクションを実行することで、企業はほとんどのシルバーチケット攻撃を防ぎ、発見した場合の迅速な対応ができます。