Threat Upgrade
Important
High
85% Confidence
CrowdStrike揭示Kerberos中继攻击新手法
内容摘要
CrowdStrike发现新型Kerberos中继攻击技术,攻击者通过伪造DNS CNAME记录绕过身份认证机制。该技术利用域名解析漏洞将Kerberos流量重定向至恶意服务器,需结合DNS监控与认证日志检测异常行为。
核心要点
攻击者操纵DNS CNAME记录将合法服务域名解析指向恶意服务器IP,触发Kerberos票据转发。传统基于SPN的检测可能失效,因CNAME记录变更不属于常规监控范围。
CrowdStrike提出三重检测模型:监控非常规CNAME变更时间戳、识别非常规客户端IP与域名解析IP不匹配、分析Kerberos票据请求与DNS解析日志的时序关联性。
CrowdStrike提出三重检测模型:监控非常规CNAME变更时间戳、识别非常规客户端IP与域名解析IP不匹配、分析Kerberos票据请求与DNS解析日志的时序关联性。
重要性说明
攻击面从单纯身份协议扩展至DNS基础设施层,企业需在48小时内更新检测规则。该手法暴露身份系统与域名解析的防御断层,可能成为勒索软件渗透新通道。...