Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity || Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud || Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity || Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Identity Security
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      Digital Forensics, IRR e preparazione agli incidenti.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è un attacco Kerberoasting?
Cybersecurity 101/Informazioni sulle minacce/Kerberoasting

Che cos'è un attacco Kerberoasting?

Gli attacchi Kerberoasting sfruttano i ticket di servizio per il furto di credenziali. Scopri come difenderti da questo sofisticato metodo di attacco.

CS-101_Threat_Intel.svg
Indice dei contenuti

Articoli correlati

  • Che cos'è il rilevamento e la risposta alle minacce (TDR)?
  • Cosa sono gli attacchi di forza bruta?
  • Che cos'è la resilienza informatica? Vantaggi e sfide
  • Che cos'è il malware polimorfico? Esempi e sfide
Autore: SentinelOne
Aggiornato: July 15, 2025

Il Kerberoasting è un metodo di attacco che prende di mira gli account di servizio in Active Directory. Questa guida esplora il funzionamento del Kerberoasting, il suo potenziale impatto e le strategie di prevenzione efficaci.

Scopri l'importanza di monitorare gli account di servizio e di implementare politiche di password complesse. Comprendere il Kerberoasting è essenziale per le organizzazioni che desiderano proteggere i propri ambienti Active Directory.

Che cos'è un attacco Kerberoasting?

Il Kerberoasting è un attacco informatico che prende di mira il protocollo di autenticazione Kerberos, comunemente utilizzato nelle reti Windows per autenticare in modo sicuro utenti e dispositivi. In un attacco Kerberoasting, un aggressore utilizza strumenti specializzati per estrarre ticket Kerberos crittografati da una rete e quindi tenta di decifrare la crittografia per ottenere l'accesso a informazioni sensibili o risorse di rete.

Prima di approfondire gli attacchi Kerberoasting e il loro funzionamento, è necessario comprendere l'architettura degli account di servizio.

  • Le password degli account di servizio hanno la stessa lunghezza e non scadono.
  • La maggior parte degli account di servizio dispone di autorizzazioni elevate e spesso fa parte di gruppi con privilegi elevati, come gli amministratori di dominio, che forniscono diritti di amministrazione completi ad AD.
  • Il cracking delle password degli account di servizio consente agli aggressori di sfruttare il meccanismo Kerberos e compromettere l'intero dominio AD.

Che cos'è il protocollo di autenticazione Kerberos?

Kerberos è un protocollo di autenticazione comunemente utilizzato nelle reti Windows per autenticare in modo sicuro utenti e dispositivi. Il protocollo Kerberos utilizza ticket per autenticare in modo sicuro utenti e dispositivi senza trasmettere password in chiaro sulla rete. Questi ticket sono crittografati utilizzando una chiave segreta condivisa tra l'utente e il server di autenticazione. In un attacco Kerberoasting, l'autore dell'attacco può estrarre questi ticket crittografati dalla rete e quindi utilizzare attacchi di forza bruta o basati su dizionario per cercare di violare la crittografia e ottenere l'accesso alle informazioni o alle risorse sensibili a cui il ticket consente l'accesso.

Il Kerberoasting consiste nello sfruttare i ticket di servizio per rubare le credenziali. Scopri di più sul rilevamento avanzato delle minacce con Singularity XDR.

Perché gli attacchi Kerberoasting sono così diffusi?

Gli attacchi Kerberoasting sono diffusi perché possono essere difficili da rilevare e prevenire. Il protocollo Kerberos è progettato per essere sicuro ed efficiente, ma si basa sulla segretezza delle chiavi segrete utilizzate per crittografare e decrittografare i ticket nel processo di autenticazione. Se un aggressore riesce a ottenere queste chiavi segrete, può utilizzarle per estrarre e decrittografare i ticket, che possono quindi essere utilizzati per accedere a informazioni sensibili o risorse di rete.

Inoltre, il protocollo Kerberos è comunemente utilizzato nelle reti aziendali. Ciò rende le reti Windows un obiettivo particolarmente interessante per gli aggressori, poiché un attacco Kerberoasting riuscito su una rete aziendale può potenzialmente fornire all'aggressore l'accesso a un gran numero di risorse e informazioni sensibili.

Inoltre, l'attacco può essere effettuato da remoto senza che l'autore debba interagire direttamente con il server di autenticazione o con le risorse di rete prese di mira. Ciò rende difficile per i difensori identificare e fermare l'attacco prima che abbia successo. Nel complesso, la combinazione di questi fattori rende gli attacchi Kerberoasting molto diffusi e potenzialmente dannosi per le organizzazioni che si affidano al protocollo Kerberos per l'autenticazione sicura.

Come funzionano gli attacchi Kerberoasting

1. Autenticazione dell'account

In un attacco Kerberoasting, l'autore dell'attacco ottiene innanzitutto le autorizzazioni necessarie per richiedere i ticket di servizio dal servizio di autenticazione Kerberos. Ciò può essere fatto compromettendo l'account di un utente legittimo che dispone delle autorizzazioni appropriate. Se l'autore dell'attacco riesce ad accedere alla risorsa di rete a cui il ticket garantisce l'accesso, senza bisogno di conoscere la password effettiva dell'utente o del dispositivo a cui appartiene il ticket.

La tecnica Kerberoasting è un metodo efficace per estrarre le credenziali dell'account di servizio da AD come utente normale senza inviare alcun pacchetto al sistema di destinazione.

2. Biglietto di servizio Kerberos

In un attacco Kerberoasting, un aggressore ottiene un gran numero di ticket di servizio dal servizio di autenticazione Kerberos e poi usa questi ticket per cercare di decifrare le password degli account associati a quei ticket. In questa tecnica, un aggressore può abusare di un ticket di concessione Kerberos (TGT) valido o intercettare il traffico di rete per ottenere un ticket di servizio di concessione (TGS) che potrebbe essere vulnerabile agli attacchi Brute Force.

3. Cracking delle password

L'autore dell'attacco può ottenere i ticket di servizio richiedendoli al servizio di autenticazione Kerberos utilizzando gli account di utenti legittimi che dispongono delle autorizzazioni appropriate. Una volta ottenuti i ticket di servizio, l'autore dell'attacco può utilizzare strumenti specializzati per tentare di violare le password associate a tali ticket. Gli autori degli attacchi utilizzano il seguente processo per violare offline la password di un account di servizio vulnerabile.

4. Escalation dell'attacco

In caso di attacco riuscito, l'autore dell'attacco può ottenere l'accesso agli account associati ai ticket di servizio, consentendogli di ottenere l'accesso non autorizzato a informazioni sensibili o di svolgere altre attività dannose. Ciò può rappresentare una grave minaccia alla sicurezza per le organizzazioni che utilizzano il protocollo di autenticazione Kerberos. Il primo passo consiste nell'individuare i nomi principali del servizio (SPN). Gli autori degli attacchi possono facilmente trovare tutti gli SPN di tipi specifici utilizzando il modulo Active Directory PowerShell. Il tipo di SPN più utile che un aggressore può cercare è "SQL". Ad esempio, il cmdlet Get-ADObject mostrato di seguito individua tutti i server SQL registrati in Active Directory.

"get-adobject -filter {serviceprincipalname -like "*sql*"} -prop serviceprincipalname"

Come mostrato nella figura sottostante, un aggressore presenta un ticket di autenticazione (TGT) valido di un utente del dominio per richiedere uno o più ticket del servizio di concessione ticket (TGS) Kerberos per qualsiasi nome principale del servizio (SPN) da un controller di dominio (DC). Gli aggressori sfruttano il supporto legacy di Microsoft per la crittografia Kerberos RC4 (RC4_HMAC_MD5), poiché l'hash della password NTLM è ampiamente utilizzato con questo tipo di crittografia. Quando richiedono i ticket TGS, gli aggressori possono costringerli a utilizzare la crittografia RC4.

Dopo aver identificato il server di destinazione, l'autore dell'attacco ottiene l'elenco degli SPN associati agli account di servizio. Può utilizzare questi account di servizio per richiedere ticket di servizio Kerberos TGS da un controller di dominio (DC).

"Add-Type -AssemblyName System.IdentityModel"

"New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "<MSSQLSvc/HOST:PORT>""

Nota: il ticket di servizio richiesto utilizzando lo strumento open source Mimikatz ha il tipo di crittografia RC4.

Una volta che il client riceve il ticket, un aggressore può esportare tutti i ticket di servizio Kerberos dalla memoria dell'utente in un file senza diritti elevati.

Nel complesso, ecco i passaggi comunemente utilizzati negli attacchi Kerberoasting:

  1. L'autore dell'attacco ottiene le autorizzazioni necessarie per richiedere i ticket di servizio dal servizio di autenticazione Kerberos. Ciò può essere fatto compromettendo l'account di un utente legittimo con le autorizzazioni appropriate.
  2. L'autore dell'attacco utilizza l'account compromesso per richiedere un numero elevato di ticket di servizio al servizio di autenticazione Kerberos.
  3. Il servizio di autenticazione Kerberos rilascia i ticket di servizio richiesti all'autore dell'attacco.
  4. L'autore dell'attacco utilizza strumenti specializzati per decifrare le password associate ai ticket di servizio.
  5. Una volta violate le password, l'autore dell'attacco ottiene l'accesso agli account associati ai ticket di servizio.
  6. L'autore dell'attacco può ora utilizzare gli account compromessi per ottenere l'accesso non autorizzato a informazioni sensibili o per svolgere altre attività dannose.
  7. L'autore dell'attacco continua a ripetere questo processo, ottenendo ulteriori ticket di servizio e violando le password ad essi associate per ottenere l'accesso ad altri account.
  8. L'autore dell'attacco può utilizzare gli account compromessi per ottenere un ulteriore accesso alla rete e compiere attacchi più avanzati, come spostarsi lateralmente all'interno della rete o distribuire malware.

Esempio di attacco Kerberoasting

  1. Durante l'operazione Wocao, gli autori delle minacce hanno utilizzato il modulo Invoke-Kerberoast di PowerSploit per richiedere ticket di servizio crittografati e forzare offline le password degli account di servizio Windows. Questi ticket di servizio possono quindi essere utilizzati per autenticarsi come account di servizio associati su altri sistemi all'interno della rete. Gli autori dell'attacco hanno quindi utilizzato un attacco di forza bruta per cercare di indovinare le password di questi account di servizio, che spesso sono deboli o condivise tra più account. Craccando la password di un account di servizio, gli autori dell'attacco potevano ottenere l'accesso a sistemi e dati sensibili all'interno della rete.
  1. Nell'incidente della backdoor Solorigate, gli autori dell'attacco APT29 hanno ottenuto i ticket TGS (Ticket Granting Service) per gli SPN (Service Principal Names) di Active Directory da violare offline.
    L'incidente Solorigate è stato un attacco informatico che ha preso di mira varie organizzazioni, tra cui agenzie governative e aziende tecnologiche. Gli autori dell'attacco, che si ritiene siano il gruppo APT29, hanno utilizzato una sofisticata backdoor chiamata "Solorigate" per accedere alle reti delle vittime. Una delle tattiche utilizzate dagli aggressori era il Kerberoasting. Craccando la password di un account di servizio, gli aggressori possono ottenere l'accesso a sistemi e dati sensibili all'interno della rete.
  1. In un altro incidente, il gruppo di minaccia FIN7 ha utilizzato il Kerberoasting per accedere alle credenziali e ha eseguito movimenti laterali attraverso la rete.

Strategie di rilevamento e prevenzione degli attacchi Kerberoasting

Sicurezza delle identità

Identity Security è una nuova funzionalità che rileva gli attacchi mirati all'infrastruttura di identità come Active Directory. Queste soluzioni sono in grado di rilevare le impostazioni di identità all'interno di Active Directory che lo rendono vulnerabile agli attacchi e possono rilevare potenziali attacchi Kerberoasting quasi in tempo reale.

Un altro modo per prevenire un attacco Kerberoasting è utilizzare password forti e uniche per tutti gli account. Ciò rende più difficile per gli aggressori decifrare le password associate ai ticket di servizio che ottengono.

Inoltre, utilizzare misure di sicurezza come autenticazione a più fattori, che richiede agli utenti di fornire un modulo di verifica aggiuntivo quando accedono ai propri account. Ciò può aiutare a impedire agli aggressori di accedere agli account anche se riescono a ottenere i ticket di servizio e a decifrare le password.

Inoltre, le organizzazioni possono utilizzare strumenti e tecnologie per rilevare e prevenire gli attacchi Kerberoasting. Ad esempio, possono utilizzare strumenti di monitoraggio della rete per rilevare attività insolite relative al protocollo di autenticazione Kerberos e utilizzare sistemi di rilevamento delle intrusioni per avvisarli di potenziali attacchi.

Nel complesso, una combinazione di password complesse, autenticazione a due fattori e tecnologie di sicurezza può aiutare a prevenire un attacco Kerberoasting e proteggere dall'accesso non autorizzato a informazioni sensibili.

Threat Hunting

Nel contesto di un attacco Kerberoasting, ricerca delle minacce può essere utilizzata per identificare e prevenire la compromissione iniziale di un account utente utilizzato per richiedere ticket di servizio dal servizio di autenticazione Kerberos. Ciò può aiutare a impedire all'autore dell'attacco di ottenere i ticket di servizio e lanciare l'attacco.

Inoltre, la ricerca delle minacce può rilevare attività insolite relative al protocollo di autenticazione Kerberos, come un numero elevato di ticket di servizio richiesti o tentativi di violare le password associate a tali ticket. Ciò può aiutare a identificare un attacco Kerberoasting in corso e ad adottare le misure appropriate per difendersi.

I team di threat hunting possono sfruttare le informazioni raccolte dalla soluzione Singularity™ Identity Security Posture Management e segnalare le valutazioni delle potenziali vulnerabilità nell'azienda. La soluzione Singularity Identity Security rileva gli aggressori che tentano l'enumerazione dei ticket Kerberos e attiva eventi su potenziali attacchi Kerberoasting.

Tecnologia di inganno

La tecnologia di inganno può essere potenzialmente utilizzata per aiutare a difendersi dagli attacchi Kerberoasting. La tecnologia di inganno, che include esche, richiami e trappole, è progettata per attirare gli aggressori e per rilevare e difendersi dai tentativi di attacco.

Nel contesto di un attacco Kerberoasting, la tecnologia di inganno può essere utilizzata per creare account falsi che possono essere utilizzati per richiedere ticket di servizio dal servizio di autenticazione Kerberos. È quindi possibile monitorare l'attività associata a questi account falsi e rilevare eventuali tentativi di violare le password associate ai ticket di servizio.

Supponiamo che un aggressore tenti di eseguire un attacco Kerberoasting contro un'esca. In tal caso, può avvisare il team di sicurezza e fornire loro informazioni sull'attacco, come l'indirizzo IP dell'aggressore e gli strumenti e le tecniche che sta utilizzando. Ciò può aiutare il team di sicurezza a difendersi dall'attacco e a impedire che causi danni.

Sebbene la tecnologia di inganno possa essere efficace in alcuni casi, non rappresenta una soluzione completa al problema degli attacchi Kerberoasting. Le organizzazioni devono utilizzare una combinazione di misure di sicurezza per proteggersi da questi attacchi.

Il Kerberoasting può portare al furto di credenziali e a ulteriori compromissioni. Assicuratevi che la vostra sicurezza sia solida con Singularity XDR per individuare tempestivamente tali rischi.

Migliorare l'intelligence sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Come proteggersi e mitigare gli attacchi Kerberoasting

Le organizzazioni possono implementare le seguenti best practice per impedire che l'intero dominio venga compromesso come strategia di mitigazione.

  • Assicurarsi che tutti gli account di servizio abbiano password lunghe e complesse (più di 25 caratteri).
  • Modificare regolarmente le password degli account di servizio (almeno una volta all'anno).
  • Utilizzare account di servizio gestiti dal gruppo (gMSA) che forniscono la gestione delle password ed eliminano la necessità per un amministratore di gestire manualmente le credenziali di ciascun account di servizio.
  • MITRE ATT&CK raccomanda inoltre di abilitare la crittografia AES Kerberos (o un altro algoritmo di crittografia più potente) anziché RC4, rendendo difficile per gli aggressori decifrare gli hash offline. Abilitare il tipo di crittografia AES a 128/256 bit utilizzando le caselle di controllo nella scheda Account.

Impostazioni e raccomandazioni relative alla politica di sicurezza Kerberos

Le organizzazioni dovrebbero prestare particolare attenzione alle impostazioni del criterio Kerberos per ridurre il rischio che gli aggressori rubino le credenziali. Queste impostazioni dei criteri si trovano in Configurazione computerImpostazioni di WindowsImpostazioni di sicurezzaCriteri accountCriteri Kerberos.

Un aggressore può esplorare le impostazioni dei criteri vulnerabili per sfruttarle. Di seguito sono riportate le impostazioni dei criteri di sicurezza Kerberos e le opzioni consigliate.

  1. Applica restrizioni di accesso utente – Se questa impostazione di policy è disabilitata, gli utenti potrebbero ottenere ticket di sessione per servizi che non hanno il diritto di utilizzare. Si consiglia di impostare questa policy su "Abilitato".
  2. Durata massima del ticket di servizio – Questa politica determina il numero massimo di minuti di utilizzo di un ticket di sessione concesso per accedere a un particolare servizio.

Si consiglia di impostare questa politica su 600 minuti. L'impostazione di un valore troppo alto per la "Durata massima del ticket di servizio" potrebbe consentire agli utenti di accedere alle risorse di rete al di fuori delle loro ore di accesso. Inoltre, gli account utente disabilitati potrebbero continuare ad accedere ai servizi di rete con ticket di servizio validi emessi prima della disabilitazione dei loro account.

  • Durata massima del ticket utente – Questa politica determina il tempo massimo (in ore) di utilizzo del ticket di concessione del ticket di un utente. Quando il ticket di concessione del ticket di un utente scade, il sistema deve richiederne uno nuovo o rinnovare quello esistente. Si consiglia di impostare questa politica su 10 ore. L'impostazione di un valore troppo alto potrebbe consentire agli utenti di accedere alle risorse di rete al di fuori delle loro ore di accesso. Inoltre, gli account utente disabilitati potrebbero continuare ad avere accesso ai servizi di rete con ticket utente validi emessi prima della disabilitazione dei loro account. L'impostazione di un valore troppo basso potrebbe influire sulle prestazioni del Key Distribution Center (KDC) nella richiesta di ticket e provocare un attacco DoS.
  • Durata massima per il rinnovo del ticket utente – Questa impostazione di criterio determina il periodo (in giorni) per rinnovare il ticket di concessione del ticket di un utente. Si consiglia di impostare questo criterio su 7 giorni. La configurazione di un valore troppo alto potrebbe consentire agli utenti di rinnovare ticket utente molto vecchi.
  • Tolleranza massima per la sincronizzazione dell'orologio del computer – Questa impostazione di criterio determina la differenza di tempo massima (in minuti) che Kerberos V5 tollera tra l'ora dell'orologio del client e l'ora del controller di dominio che fornisce l'autenticazione Kerberos. Si consiglia di impostare questo criterio su un valore di 5 minuti.

Come SentinelOne Singularity Identity protegge dagli attacchi Kerberoasting

SentinelOne Singularity Identity monitora continuamente Active Directory alla ricerca di attacchi come Kerberoasting. La soluzione Ranger AD rileva l'enumerazione dei ticket Kerberos e attiva eventi su potenziali attacchi Kerberoasting. Singularity Identity implementa anche credenziali ingannevoli, inclusi hash, token di autenticazione e ticket Kerberos. Ciò consente di rilevare gli aggressori che utilizzano ticket ingannevoli e di reindirizzarli verso sistemi esca per l'ingaggio.

Ottenere informazioni più approfondite sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Maggiori informazioni sul Kerberoasting

Kerberoasting e Mimikatz

Mimikatz è uno strumento che può essere utilizzato per eseguire un attacco Kerberoasting. Mimikatz è un'utilità progettata per estrarre informazioni sensibili da un sistema informatico, comprese password e altre credenziali di autenticazione.

Nel contesto di un attacco Kerberoasting, Mimikatz può ottenere ticket di servizio dal servizio di autenticazione Kerberos e quindi decifrare le password associate. Ciò consente a un aggressore di ottenere l'accesso non autorizzato agli account associati ai ticket di servizio.

Mimikatz è uno strumento potente che può essere utilizzato sia per scopi legittimi che dannosi. Sebbene possa essere utile ai professionisti della sicurezza per testare la sicurezza dei loro sistemi, può anche essere utilizzato dagli aggressori per sferrare attacchi informatici. Di conseguenza, le organizzazioni devono proteggersi dal suo utilizzo in un attacco Kerberoasting.

Kerberoasting e Golden Ticket

Il Kerberoasting e i Golden Ticket sono entrambe tecniche che possono essere utilizzate per sferrare attacchi informatici contro il protocollo di autenticazione Kerberos.

Il Kerberoasting consiste nell'ottenere un gran numero di ticket di servizio dal servizio di autenticazione Kerberos e quindi utilizzare strumenti specializzati per decifrare le password associate a tali ticket. Ciò consente a un hacker di ottenere l'accesso non autorizzato agli account associati ai ticket di servizio.

Un Golden Ticket, invece, è un ticket Kerberos contraffatto che può essere utilizzato per autenticarsi come qualsiasi utente su una rete. Ciò consente a un aggressore che ha ottenuto un Golden Ticket di ottenere l'accesso non autorizzato alla rete e di svolgere altre attività dannose.

Sebbene entrambe le tecniche possano essere utilizzate per attaccare il protocollo di autenticazione Kerberos, hanno meccanismi diversi e possono essere utilizzate per scopi diversi. È importante che le organizzazioni comprendano le differenze tra queste tecniche e si proteggano da esse per mantenere la sicurezza dei propri sistemi.

L'attacco Golden Ticket è simile a un attacco Kerberoasting, in cui un aggressore estrae e decrittografa i ticket esistenti per ottenere l'accesso alle risorse di rete. Tuttavia, in un attacco Golden Ticket, l'aggressore crea un ticket completamente nuovo e contraffatto, che gli consente di aggirare qualsiasi controllo di accesso o protocollo di autenticazione in vigore.

Kerberoasting e Silver Ticket

Un Silver Ticket è un ticket Kerberos contraffatto che consente a un aggressore di impersonare un servizio legittimo su una rete. Ciò consente all'autore dell'attacco di accedere alle risorse di rete e svolgere altre attività dannose.

Sebbene entrambe le tecniche possano essere utilizzate per attaccare il protocollo di autenticazione Kerberos, hanno meccanismi diversi e possono essere utilizzate per scopi diversi. È importante che le organizzazioni comprendano le differenze tra queste tecniche e si proteggano da esse per mantenere la sicurezza dei propri sistemi.

Molte organizzazioni forniscono account di servizio con troppe autorizzazioni, spesso con password deboli, rendendo facile per un aggressore passare da utente di dominio ad amministratore di dominio. L'implementazione di una valutazione continua e la convalida delle configurazioni Kerberos possono evitare di essere vulnerabili alle escalation di privilegi e ai movimenti laterali.

Domande frequenti sugli attacchi Kerberoasting

Il Kerberoasting è una tecnica di post-exploit in cui gli aggressori prendono di mira gli account di servizio negli ambienti Active Directory. L'attacco funziona richiedendo ticket di servizio crittografati dal protocollo di autenticazione Kerberos, quindi mettendo questi ticket offline per decifrare gli hash delle password. Gli aggressori prendono di mira in particolare gli account con nomi principali di servizio (SPN) perché qualsiasi utente del dominio autenticato può richiedere ticket per questi servizi.

Una volta decifrato l'hash della password utilizzando strumenti come Hashcat o John the Ripper, possono impersonare l'account di servizio e accedere a tutti i sistemi per i quali tale account dispone di privilegi.

Gli attacchi Kerberoasting prendono di mira principalmente gli account utente associati a nomi principali di servizio (SPN), piuttosto che gli account macchina. Gli aggressori si concentrano sugli account utente perché le password delle macchine sono gestite automaticamente dal dominio, vengono cambiate regolarmente e sono complesse per impostazione predefinita. Gli account utente con SPN sono più vulnerabili perché le politiche sulle password imposte dal dominio non sempre si applicano a loro, lasciando la sicurezza delle password alla discrezione dell'utente.

Gli account di servizio che eseguono applicazioni come SQL Server, IIS o altri servizi aziendali sono obiettivi comuni. Questi account hanno spesso privilegi elevati e accesso a dati sensibili, il che li rende preziosi per l'escalation dei privilegi e il movimento laterale.

Le organizzazioni possono difendersi dal Kerberoasting implementando politiche di password complesse per gli account di servizio, utilizzando password di almeno 25 caratteri. È necessario implementare account di servizio gestiti dal gruppo (gMSA) che ruotano automaticamente le password ed eliminano la gestione manuale delle password. Monitorare la rete per individuare richieste di ticket TGS insolite e l'utilizzo della crittografia RC4, poiché questi sono indicatori comuni di tentativi di Kerberoasting. Implementare il principio del privilegio minimo per gli account di servizio, assicurandosi che dispongano solo delle autorizzazioni minime necessarie.

Regolari controlli di sicurezza dovrebbero identificare e rimuovere gli SPN non necessari, e dovresti disabilitare o rimuovere gli account di servizio obsoleti che non sono più necessari. Soluzioni come SentinelOne Singularity™ Identity possono anche difendere dagli attacchi Kerberoasting.

Tra gli strumenti più comuni utilizzati per il Kerberoasting vi è Rubeus, che è in grado di automatizzare l'intero processo, dall'enumerazione degli SPN all'estrazione dei ticket. Gli aggressori utilizzano anche lo script GetUserSPNs.py di Impacket per gli attacchi basati su Linux, che richiede credenziali di dominio valide. Mimikatz è un altro strumento popolare in grado di estrarre i ticket Kerberos dalla memoria.

Per il cracking delle password, gli aggressori utilizzano in genere Hashcat con la modalità 13100 o John the Ripper per crackare offline gli hash dei ticket estratti. Gli script PowerShell come Invoke-Kerberoast possono essere utilizzati anche per eseguire l'attacco direttamente dai sistemi Windows compromessi.

L'autenticazione a più fattori non può impedire direttamente gli attacchi Kerberoasting perché l'attacco sfrutta il design del protocollo Kerberos piuttosto che il processo di autenticazione iniziale. Tuttavia, l'autenticazione a più fattori fornisce una protezione importante rendendo più difficile per gli aggressori ottenere le credenziali iniziali degli utenti del dominio necessarie per richiedere i ticket di servizio.

Scopri di più su Informazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzioneInformazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzione

Questa guida approfondita spiega cos'è l'adware, fornendo definizioni, vie di infezione, metodi di rilevamento e consigli di prevenzione. Impara a rimuovere gli adware, proteggere i dispositivi e difendere le aziende dalle minacce degli adware.

Per saperne di più
Cosa sono gli indicatori di compromissione (IoC)?Informazioni sulle minacce

Cosa sono gli indicatori di compromissione (IoC)?

Gli indicatori di compromissione (IOC) aiutano a identificare le violazioni della sicurezza. Scopri come utilizzare gli IOC per un rilevamento e una risposta efficaci alle minacce.

Per saperne di più
Che cos'è un exploit nella sicurezza informatica?Informazioni sulle minacce

Che cos'è un exploit nella sicurezza informatica?

Comprendere e difendersi dagli exploit è fondamentale. Esplora i diversi tipi di exploit e le misure pratiche che puoi adottare per proteggere i tuoi sistemi da potenziali minacce.

Per saperne di più
Che cos'è l'ingegneria del rilevamento?Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?

Questa guida spiega l'ingegneria di rilevamento, coprendone la definizione, lo scopo, i componenti chiave, le best practice, la rilevanza del cloud e il ruolo nel migliorare la visibilità e la protezione delle minacce in tempo reale.

Per saperne di più
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Italiano
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2025 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo