ESCU Alert - Kerberos RC4 Ticket Request Analysis

چرا این هشدار صادر می‌شود؟

این قانون درخواست‌های تیکت سرویس (TGS) در پروتکل کربروس را که از الگوریتم رمزنگاری ضعیف RC4 (کد 0x17) استفاده می‌کنند، شناسایی می‌کند. این قانون به طور خاص بر روی حساب‌های ماشینی (Machine Accounts) که نام آن‌ها با $ ختم می‌شود تمرکز دارد. استفاده از RC4 در شبکه‌های مدرن ناامن محسوب می‌شود و می‌تواند نشانه‌ای از حملات کاهش سطح امنیت (Downgrade Attacks) یا پیکربندی‌های قدیمی و آسیب‌پذیر باشد.

Event ID: 4769 (Kerberos Service Ticket Operations)
Encryption Type: 0x17 (RC4-HMAC)
Target: ServiceName ending with "$"
Technique: Steal or Forge Kerberos Tickets (T1558)

مهاجمان ممکن است سعی کنند ترافیک کربروس را به رمزنگاری ضعیف‌تر (RC4) مجبور کنند تا بتوانند تیکت‌ها را راحت‌تر جعل کرده یا بشکنند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

حمله Downgrade: مهاجم سعی می‌کند با دستکاری ترافیک، کلاینت‌ها و سرورها را مجبور به استفاده از رمزنگاری ضعیف RC4 کند تا بتواند ترافیک را شنود یا جعل کند.
تلاش برای جعل تیکت (Silver Ticket): اگر مهاجم هش NTLM یک حساب کامپیوتر را داشته باشد، می‌تواند با استفاده از RC4 تیکت‌های جعلی صادر کند.

سناریوهای متوسط

پیکربندی‌های ناامن: وجود سرورها یا کلاینت‌هایی در شبکه که به درستی برای استفاده از AES (AES128/AES256) پیکربندی نشده‌اند.
سرویس‌های قدیمی (Legacy): نرم‌افزارها یا سرویس‌هایی که هنوز از استانداردهای رمزنگاری جدید پشتیبانی نمی‌کنند و نیاز به RC4 دارند.

سناریوهای کم‌خطر (مثبت کاذب)

ارتباط با دامین‌های تراست قدیمی: اگر یک Trust با دامین بسیار قدیمی وجود داشته باشد، ممکن است ارتباطات به صورت خودکار روی RC4 تنظیم شود.
سیستم‌های قدیمی ایزوله: سیستم‌های ویندوز سرور 2003 یا XP که در شبکه وجود دارند (که ذاتاً از AES پشتیبانی نمی‌کنند).

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: مشاهده درخواست RC4 برای سرورهای حساس و به‌روز (مانند دامین کنترلرهای 2016/2019) که باید به طور پیش‌فرض از AES استفاده کنند.

بررسی نسخه سیستم عامل: آیا سیستم مقصد (dest) یک ویندوز قدیمی است؟ اگر سیستم جدید است، استفاده از RC4 غیرعادی است.
منبع درخواست: کدام سیستم یا کاربر درخواست تیکت کرده است؟
تنظیمات گروپ پالیسی: بررسی کنید که آیا سیاست‌های امنیتی شبکه (GPO) اجازه استفاده از الگوریتم‌های رمزنگاری قدیمی را می‌دهند؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Windows Security Event Log
EventCode 4769 (TGS Request)

دیتامدل‌های مورد استفاده

Wineventlog_Security

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های امنیتی ویندوز، این فیلدها حیاتی هستند:

dest (Target System)

service (Target Service)

TicketEncryptionType (0x17)

TicketOptions

service_id