Alerta crítica: Nueva campaña de ataques AS-Rep Roasting

Derivado del monitoreo de amenazas en el ciberespacio, el equipo de Cyber Threat Intelligence de Silent4Business identificó una campaña activa de ataques de tipo AS-Rep (Authentication Server Response). Estos ataques se dirigen a objetos de usuario en Active Directory que no requieren autenticación previa de Kerberos.Derivado del monitoreo de amenazas en el ciberespacio, el equipo de Cyber Threat Intelligence de Silent4Business identificó una campaña activa de ataques a Active Directory sin preautenticación Kerberos, aprovechando cuentas de usuario vulnerables a técnicas como AS-Rep Roasting.

El mensaje AS-REP contiene una etiqueta de tiempo encriptada con el hash de la contraseña del usuario. Este mecanismo solo funciona cuando la preautenticación Kerberos está activada. En caso contrario, el mensaje se transmite sin verificar la autenticación del usuario, lo que abre la puerta a potenciales ataques.

Cuando se envía la información sin autenticación, los actores de amenaza pueden explotar objetos de usuario que no cuenten con los mecanismos de protección adecuados, facilitando así compromisos a nivel de credenciales.

Cadena de ataque de AS-Rep Roasting

Diversas herramientas son utilizadas para ejecutar estos ataques. El proceso sigue tres etapas principales:

1. El actor de amenaza envía una solicitud AS-REQ al controlador del dominio, dirigida a un objeto sin autenticación Kerberos habilitada.
2. El controlador responde con un mensaje AS-REP que contiene un TGT (Ticket Granting Ticket).
3. Los atacantes trabajan en conjunto para descifrar la contraseña contenida en el TGT, utilizando técnicas como la fuerza bruta para obtener el hash de la contraseña del usuario.

Active Directory bajo amenaza: impacto y complejidad

Los riesgos que afectan a Active Directory continúan en aumento, impulsados por técnicas cada vez más sofisticadas como el AS-Rep Roasting, que figura entre las más utilizadas actualmente.

Responder ante compromisos en Active Directory conlleva una alta inversión de tiempo y recursos. Por ello, resulta fundamental reforzar la configuración de seguridad de los objetos de usuario y prevenir accesos no autorizados mediante buenas prácticas.

Herramientas utilizadas en ataques AS-Rep Roasting

Estas son las herramientas más comúnmente usadas por los atacantes en este tipo de campañas:

Rubeus

Herramienta de postexplotación capaz de interactuar con tickets de Kerberos y realizar ataques AS-Rep Roasting. Permite solicitar tickets de servicio para cuentas con preautenticación deshabilitada.

Impacket

Colección de scripts en Python que facilita la explotación de protocolos de red. Incluye el script GetNPUsers.py, diseñado específicamente para ataques AS-Rep y recuperación de hashes de contraseñas.

CrackMapExec

Automatiza tareas posteriores a la explotación, incluyendo el AS-Rep Roasting. Permite solicitar tickets y descifrar los hashes resultantes.

Mimikatz

Conocida herramienta para volcado de credenciales, también empleada para ejecutar ataques de tipo AS-Rep Roasting.

Ejemplo práctico de ataque AS-Rep Roasting

Existen dos enfoques distintos para llevar a cabo este ataque:

1. Ataque sin autenticación previa

Cuando se conoce o se obtiene el nombre de usuario mediante técnicas como ingeniería social, los actores maliciosos pueden enviar solicitudes sistemáticas a nombres comúnmente utilizados. Esto permite detectar usuarios válidos mediante ataques de fuerza bruta y ejecutar la técnica AS-Rep sin autenticación previa.

2. Ataque basado en autenticación interna

Si se logra acceso a credenciales activas dentro de un dominio, es posible obtener valores hash de múltiples cuentas vulnerables. Esta modalidad aprovecha accesos ya existentes para ampliar la exposición.

Conclusión: Fortalece la seguridad en Active Directory

La campaña asociada a ataques AS-Rep Roasting refleja los riesgos crecientes vinculados a configuraciones débiles en entornos Active Directory, particularmente en cuentas sin preautenticación Kerberos.

Este tipo de ataque permite a actores maliciosos obtener hashes sin autenticación previa, lo que facilita su descifrado mediante fuerza bruta y expone la integridad de credenciales críticas. Además, el compromiso de estos objetos representa un desafío económico y operativo relevante para las organizaciones.

El equipo de CTI de Silent4Business continuará con un monitoreo constante y compartirá cualquier actualización relevante sobre esta amenaza.

Recomendaciones clave ante ataques AS-Rep Roasting

A continuación, se emiten recomendaciones con base en los hallazgos observados:

• Habilitar la preautenticación Kerberos para todas las cuentas de usuario.
• Auditar y reforzar las configuraciones de cuentas en Active Directory.
• Establecer políticas de contraseñas robustas y habilitar bloqueos por intentos fallidos.
• Utilizar autenticación multifactor (MFA) en cuentas privilegiadas.
• Monitorizar las solicitudes AS-REQ y respuestas AS-REP en los controladores de dominio.
• Implementar soluciones de detección y respuesta (EDR) con análisis de comportamiento.
• Mantener actualizado el inventario de herramientas de pentesting autorizadas en la red.
• Proteger y segmentar los controladores de dominio.
• Definir procedimientos claros de respuesta ante incidentes de Active Directory.

Datos técnicos adicionales

• Posible vector de ataque: Ingeniería social, enumeración de usuarios.
• Impacto operativo: Robo de información sensible, compromiso de cuentas privilegiadas.
• Región afectada: Internacional.
• Indicadores de compromiso: Sin indicadores de compromiso asociados.

¿Tu organización cuenta con los controles adecuados para prevenir este tipo de amenazas?

Visita www.silent4business.com y conoce cómo nuestros servicios de inteligencia en ciberseguridad pueden ayudarte a fortalecer tu entorno tecnológico ante riesgos avanzados.