Kerberos中继攻击新变种：利用DNS CNAME绕过防护

Terminucia

1. 攻击手法背景解析

Kerberos协议作为企业级网络身份验证的基石，其安全性直接关系到整个域环境的稳固。传统Kerberos中继攻击（Kerberos Relay Attack）需要攻击者能够拦截或重定向受害者的Kerberos认证流量，这种攻击方式受限于网络中间人条件，使得防御方可以通过限制SMB签名、启用LDAP通道绑定等措施有效防护。

最新披露的攻击变种（CVE-2023-XXXX）通过巧妙利用DNS基础设施中的CNAME记录，实现了对传统防护措施的绕过。这种攻击方式不再依赖传统的网络层中间人攻击，而是通过污染DNS解析过程，将Kerberos认证请求引导至攻击者控制的服务器。

2. 技术原理深度剖析

2.1 DNS CNAME记录的特殊性

CNAME（Canonical Name）记录作为DNS系统中的别名记录，允许将一个域名解析为另一个域名。在企业环境中，常见以下应用场景：

负载均衡器域名指向（如webapp.contoso.com CNAME到lb.contoso.com）
服务迁移时的临时重定向
多区域部署的统一入口

攻击者正是利用CNAME解析过程中的两个关键特性：

解析链延长：CNAME可以形成多级解析链（A→B→C），增加监控盲点
协议转换：通过CNAME可将Kerberos服务名（如HTTP/server1）解析到非预期IP

2.2 攻击流程分解

完整攻击链包含以下阶段：

信息收集阶段：
- 通过LDAP查询获取域内所有计算机账户的servicePrincipalName（SPN）
- 扫描DNS区域查找可修改的CNAME记录
基础设施搭建：
- 在可控服务器上搭建恶意KDC（Key Distribution Center）
- 配置NTLM中继工具（如Impacket的ntlmrelayx）

DNS投毒阶段：

powershell复制# 示例：通过PowerShell添加恶意CNAME记录
Add-DnsServerResourceRecord -ZoneName "contoso.com" -CName -Name "sqlsrv" -HostNameAlias "attacker.contoso.com"

认证劫持阶段：
- 当域内主机访问被污染的SPN（如MSSQL/sqlsrv.contoso.com）时
- 认证请求被引导至攻击者服务器完成票据中继

3. 防御方案设计与实施

3.1 网络层防护措施

强制协议硬化配置：

xml复制<!-- 组策略配置示例（KB5008380补丁后） -->
<ComputerConfiguration>
  <WindowsSettings>
    <Security>
      <Kerberos>
        <RequireStrictKDCValidation>1</RequireStrictKDCValidation>
        <RestrictCrossForestRealmAuth>1</RestrictCrossForestRealmAuth>
      </Kerberos>
    </Security>
  </WindowsSettings>
</ComputerConfiguration>

DNS监控关键指标：

CNAME记录修改频率异常检测
SPN与解析IP不匹配告警（如HTTP服务解析到非80端口IP）
TTL值异常缩短的CNAME记录

3.2 身份验证加固方案

实施资源约束委派（RBCD）：

powershell复制# 仅允许特定账户对指定服务进行委派
Set-ADComputer -Identity "SQLSRV" -PrincipalsAllowedToDelegateToAccount "SVC_SQL"

Kerberos装甲（Armoring）配置：

启用组策略"网络安全：配置Kerberos允许的加密类型"
禁用RC4-HMAC等弱加密算法
强制使用AES256-CTS-HMAC-SHA1-96

4. 攻击检测与应急响应

4.1 SIEM检测规则示例

Splunk查询规则：

code复制index=windows (EventCode=4768 OR EventCode=4769) 
| stats count by ServiceName, ClientAddress, ServerAddress 
| where ServiceName!="krbtgt" AND ClientAddress!=ServerAddress

Azure Sentinel查询：

kql复制SecurityEvent
| where EventID == 4769
| extend ServiceName = tostring(parse_json(EventData).ServiceName)
| where ServiceName contains "CNAME"

4.2 应急响应流程

隔离阶段：
- 立即禁用受影响服务的计算机账户
- 重置KRBTGT账户密码两次（遵循Microsoft PDCE重置流程）
取证阶段：
- 收集DNS调试日志（dnscmd /info /debuglevel 0xFFFFF）
- 导出Kerberos事件日志（wevtutil qe Security /q:"*[System[(EventID=4768 or EventID=4769)]]"）

恢复阶段：

使用AD PowerShell模块验证所有SPN归属：

powershell复制Get-ADObject -Filter * -Properties servicePrincipalName | 
Where-Object {$_.servicePrincipalName -ne $null}

实施DNS记录签名（DNSSEC）防止未授权修改

5. 企业防护体系建设建议

5.1 纵深防御架构设计

网络分段策略：

核心域控制器隔离在专属VLAN
实施服务账户网络访问限制（VLAN ACL）
部署专用DNS监控节点（如Cisco Stealthwatch）

认证流程加固：

启用FAST（Flexible Authentication Secure Tunneling）预认证
配置Kerberos协议扩展（RFC 6113）
实施证书绑定的Kerberos（CB-Kerberos）

5.2 红队对抗测试方案

自检项目清单：

[ ] 测试所有SPN的CNAME解析路径一致性
[ ] 验证跨子网Kerberos约束委派配置
[ ] 检测DNS动态更新权限配置
[ ] 审计所有服务账户的SPN绑定情况

自动化测试脚本框架：

python复制from ldap3 import Server, Connection
from dns.resolver import resolve

def check_spn_dns_alignment(domain):
    server = Server(f'ldap://{domain}')
    conn = Connection(server)
    conn.bind()
    
    conn.search('dc='+domain.replace('.',',dc='), 
               '(servicePrincipalName=*)', 
               attributes=['sAMAccountName', 'servicePrincipalName'])
    
    for entry in conn.entries:
        for spn in entry.servicePrincipalName.values:
            service, host = spn.split('/')
            try:
                dns_result = resolve(host, 'CNAME')
                if 'attacker' in str(dns_result[0].target):
                    print(f'VULNERABLE: {host} -> {dns_result[0].target}')
            except:
                continue

6. 漏洞修复时间线管理

6.1 补丁部署策略

优先级矩阵：

系统类型	紧急程度	补丁验证方法
域控制器	紧急	测试环境72小时稳定性监测
关键业务服务器	高	业务连续性测试+认证流程验证
工作站终端	中	抽样测试核心业务应用兼容性

6.2 长期监控机制

性能基线指标：

Kerberos TGS请求平均延迟（正常<200ms）
DNS递归查询响应时间（正常<100ms）
CNAME记录修改频率阈值（建议≤2次/天）

审计日志配置：

powershell复制# 启用详细Kerberos日志
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" `
                 -Name "LogLevel" -Value 1

# 配置DNS调试日志
dnscmd /config /debuglevel 0xFFFFF