Tiket Kerberos memverifikasi identitas pengguna dan server. Tetapi peretas juga mengeksploitasi sistem ini untuk mengetahui informasi sensitif tentang Anda.
Tiket Kerberos membuat internet lebih aman dengan menyediakan sarana bagi komputer dan server di jaringan untuk mengirimkan data tanpa perlu memverifikasi identitas mereka di setiap langkah. Namun, peran ini sebagai autentikator satu kali, meskipun sementara, membuat tiket Kerberos menarik bagi penyerang yang dapat memecahkan enkripsi mereka.
Apa itu Tiket Kerberos?
Jika menurut Anda "Kerberos" terdengar asing, Anda benar. Ini adalah nama Yunani dari anjing Hades (atau dikenal sebagai "Cerberus"). Tapi Kerberos bukanlah anjing piaraan; ia memiliki beberapa kepala dan menjaga gerbang dunia bawah. Kerberos mencegah orang mati untuk pergi dan menghentikan karakter yang putus asa untuk mengeluarkan orang yang mereka cintai dari alam baka yang suram. Dengan cara itu, Anda dapat menganggap anjing sebagai autentikator yang mencegah akses tidak sah.
Kerberos adalah protokol otentikasi jaringan yang menggunakan kunci kriptografi untuk memverifikasi komunikasi antara klien (komputer pribadi) dan server di jaringan komputer. Kerberos dibuat oleh Massachusetts Institute of Technology (MIT) sebagai cara bagi klien untuk membuktikan identitas mereka ke server ketika mereka membuat permintaan data. Demikian pula, server menggunakan tiket Kerberos untuk membuktikan bahwa data yang dikirimkan adalah asli, dari sumber yang dituju, dan tidak rusak.
Tiket Kerberos pada dasarnya adalah sertifikat yang dikeluarkan untuk klien oleh pihak ketiga tepercaya (disebut pusat distribusi utama—singkatnya KDC). Klien menyajikan sertifikat ini, bersama dengan kunci sesi unik, ke server saat memulai permintaan data. Menyajikan dan mengautentikasi tiket membangun kepercayaan antara klien dan server, jadi tidak perlu memverifikasi setiap permintaan atau perintah.
Bagaimana Cara Kerja Tiket Kerberos?
Tiket Kerberos mengautentikasi akses pengguna ke layanan. Mereka juga membantu server mengelompokkan akses jika ada beberapa pengguna yang mengakses layanan yang sama. Dengan cara ini, permintaan tidak bocor satu sama lain, dan orang yang tidak berwenang tidak dapat mengakses data yang dibatasi untuk pengguna istimewa.
Misalnya, Microsoft menggunakan Kerberos protokol otentikasi ketika pengguna mengakses server Windows atau sistem operasi PC. Jadi, saat Anda masuk ke komputer setelah boot, OS menggunakan tiket Kerberos untuk mengautentikasi sidik jari atau kata sandi Anda.
Komputer Anda untuk sementara menyimpan tiket di memori proses Layanan Subsistem Otoritas Keamanan Lokal (LSASS) untuk sesi itu. Sejak saat itu, OS menggunakan tiket yang di-cache untuk autentikasi sistem masuk tunggal, jadi Anda tidak perlu memberikan biometrik atau kata sandi setiap kali Anda perlu melakukan sesuatu yang memerlukan hak administratif.
Dalam skala yang lebih besar, tiket Kerberos digunakan untuk melindungi komunikasi jaringan di internet. Ini termasuk hal-hal seperti enkripsi HTTPS dan verifikasi nama pengguna-kata sandi saat masuk. Tanpa Kerberos, komunikasi jaringan akan rentan terhadap serangan seperti pemalsuan permintaan lintas situs (CSRF) dan peretasan man-in-the-middle.
Apa Sebenarnya Kerberoasting Itu?
Kerberoasting adalah metode serangan di mana penjahat dunia maya mencuri tiket Kerberos dari server dan mencoba mengekstrak hash kata sandi plaintext. Pada intinya, serangan ini adalah rekayasa sosial, pencurian kredensial, dan serangan brute-force, semuanya digulung menjadi satu. Langkah pertama dan kedua melibatkan penyerang yang menyamar sebagai klien dan meminta tiket Kerberos dari server.
Tentu saja, tiketnya dienkripsi. Namun demikian, mendapatkan tiket menyelesaikan salah satu dari dua tantangan bagi peretas. Setelah mereka mendapatkan tiket Kerberos dari server, tantangan selanjutnya adalah mendekripsinya dengan cara apa pun yang diperlukan. Peretas yang memiliki tiket Kerberos akan berusaha keras untuk memecahkan file ini karena betapa berharganya file itu.
Bagaimana Cara Kerja Serangan Kerberoasting?
Kerberoasting mengeksploitasi dua kesalahan keamanan umum dalam direktori aktif—menggunakan kata sandi yang pendek dan lemah, dan mengamankan file dengan enkripsi yang lemah. Serangan dimulai dengan seorang hacker menggunakan akun pengguna untuk meminta tiket Kerberos dari KDC.
KDC kemudian mengeluarkan tiket terenkripsi seperti yang diharapkan. Alih-alih menggunakan tiket ini untuk autentikasi dengan server, peretas menjadikannya offline dan mencoba memecahkan tiket dengan teknik brute force. Alat yang digunakan untuk melakukan ini gratis dan bersumber terbuka, seperti mimikatz, Hashcat, dan JohnTheRipper. Serangan itu juga dapat diotomatisasi dengan alat seperti invoke-kerberoast dan Rubeus.
Serangan kerberoasting yang berhasil akan mengekstrak kata sandi teks biasa dari tiket. Penyerang kemudian dapat menggunakannya untuk mengautentikasi permintaan ke server dari akun pengguna yang disusupi. Lebih buruk lagi, penyerang dapat memanfaatkan akses tidak sah yang baru ditemukan untuk mencuri data, bergerak secara lateral di direktori aktif, dan siapkan akun dummy dengan hak istimewa admin.
Haruskah Anda Khawatir Tentang Kerberoasting?
Kerberoasting adalah serangan populer pada direktori aktif, dan Anda harus mengkhawatirkannya jika Anda adalah admin domain atau operator tim biru. Tidak ada konfigurasi domain default untuk mendeteksi serangan ini. Sebagian besar terjadi secara offline. Jika Anda pernah menjadi korban dari hal ini, kemungkinan besar Anda akan mengetahui faktanya.
Anda dapat mengurangi keterpaparan Anda dengan memastikan semua orang di jaringan Anda menggunakan kata sandi panjang yang terdiri dari karakter dan simbol alfanumerik acak. Selain itu, Anda harus menggunakan enkripsi tingkat lanjut dan menyiapkan peringatan untuk permintaan yang tidak biasa dari pengguna domain. Anda juga perlu waspada terhadap rekayasa sosial untuk mencegah pelanggaran keamanan yang memulai Kerberoating sejak awal.
