ثغرة Kerberoasting: كيف يتم استغلالها في اختراق Active Directory؟ 🔥🔓

ثغرة Kerberoasting هي واحدة من أخطر الثغرات التي تستهدف Active Directory في أنظمة Windows، حيث تتيح للمهاجمين استخراج تجزئات كلمات المرور لحسابات الخدمات المخزنة في Kerberos، مما يسهل كسرها لاحقًا باستخدام أدوات متخصصة.

في هذا المقال، سنتعرف على كيفية استغلال ثغرة Kerberoasting، وآلية عملها، وأفضل الطرق لحماية أنظمتك من هذا النوع من الهجمات.


🔹 كيف تعمل ثغرة Kerberoasting؟

عندما يحتاج مستخدم أو خدمة إلى الوصول إلى مورد داخل الشبكة، يستخدم بروتوكول Kerberos لتوثيق الطلب. خلال هذه العملية، يمكن للمهاجم استغلال طريقة عمل Service Principal Name (SPN) لاستخراج تذاكر Kerberos المشفرة (TGS - Ticket Granting Service)، والتي تحتوي على تجزئات كلمات المرور الخاصة بحسابات الخدمات.

📌 خطوات استغلال الثغرة:

1️⃣ المهاجم يقوم بمصادقة نفسه على الشبكة كمستخدم عادي.

2️⃣ يقوم بجلب قائمة بحسابات الخدمات (SPNs) المسجلة في Active Directory.

3️⃣ يطلب تذاكر TGS الخاصة بهذه الحسابات، والتي تكون مشفرة بتجزئة NTLM الخاصة بكلمة مرور الخدمة.

4️⃣ يتم استخراج التجزئات وحفظها في ملف لاستخدامها لاحقًا.

5️⃣ يتم كسر التجزئات باستخدام أدوات مثل Hashcat أو John The Ripper لاستعادة كلمة المرور.


🔥 أدوات استغلال Kerberoasting

هناك العديد من الأدوات التي تُستخدم لاستخراج تذاكر Kerberos وكسرها، ومن أبرزها:

✅ Rubeus: أداة متخصصة في استخراج وتجميع تذاكر Kerberos.

✅ Impacket: تحتوي على سكربتات مثل GetUserSPNs لجلب تذاكر TGS.

✅ Mimikatz: يمكنها استخراج بيانات المصادقة من الذاكرة.

✅ Hashcat: تُستخدم لكسر تجزئات NTLM واستعادة كلمات المرور.


💻 مثال عملي على استغلال Kerberoasting باستخدام Impacket

1️⃣ استخراج حسابات الخدمات والتذاكر باستخدام GetUserSPNs:

python3 GetUserSPNs.py DOMAIN/USER:PASSWORD -dc-ip 192.168.1.10 -request

🔹 يقوم هذا الأمر بجلب قائمة بحسابات الخدمات واستخراج تذاكر Kerberos الخاصة بها.

2️⃣ كسر التجزئات باستخدام Hashcat:

hashcat -m 13100 extracted_hashes.txt rockyou.txt --force

🔹 يتم استخدام هجوم القوة الغاشمة (Brute Force) لمحاولة استعادة كلمة المرور من التجزئة.


🛡️ كيف تحمي شبكتك من هجمات Kerberoasting؟

🔹 تعيين كلمات مرور قوية لحسابات الخدمات حتى يصعب كسرها عند استخراج التجزئات.

🔹 تقليل عدد حسابات الخدمات ذات الامتيازات العالية لمنع تسرب بيانات حساسة.

🔹 تمكين مراقبة الشبكة باستخدام SIEM لاكتشاف الأنشطة المشبوهة مثل طلبات Kerberos غير المعتادة.

🔹 تفعيل حسابات Managed Service Accounts (MSA) أو Group Managed Service Accounts (gMSA)، لأنها تولد كلمات مرور طويلة وعشوائية تلقائيًا.

🔹 تقليل صلاحيات المستخدمين العاديين في الشبكة لمنعهم من استخراج التذاكر بسهولة.


⚠️ ملاحظة هامة

🔴 يجب استخدام هذه المعلومات فقط لأغراض اختبار الأمان والاختراق الأخلاقي، وبعد الحصول على إذن رسمي. أي استخدام غير قانوني لهذه الثغرة يعرضك للمساءلة القانونية.

💬 هل لديك تجربة مع Kerberoasting؟ شاركنا رأيك في التعليقات!👇