Πώς το Kerberoasting σε φαρμακευτικό οργανισμό οδηγεί σε πρόσβαση στο R&D και την πνευματική ιδιοκτησία

Offensive Scenario — Φαρμακευτικός κλάδος. Η πραγματική αξία μιας
φαρμακοβιομηχανίας είναι το R&D και η πνευματική ιδιοκτησία: μοριακά δεδομένα, πρωτόκολλα,
ηλεκτρονικά εργαστηριακά σημειωματάρια (ELN). Το Kerberoasting σε φαρμακευτικό
οργανισμό είναι ένα από τα πιο “σιωπηλά” μονοπάτια προς αυτά τα δεδομένα, επειδή
εκμεταλλεύεται αδυναμίες του Active Directory χωρίς θορυβώδες malware.

Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.

Executive Summary

Το σενάριο δείχνει πώς το Kerberoasting σε φαρμακευτικό οργανισμό μπορεί να
οδηγήσει από έναν απλό χρήστη σε πρόσβαση σε δεδομένα R&D/IP, μέσω αδύναμων service accounts
και υπερβολικών δικαιωμάτων στο AD. Η Audax το αναπαράγει ελεγχόμενα και αποδεικνύει αν οι
ανιχνεύσεις γύρω από Kerberos και προνομιακή πρόσβαση λειτουργούν.

Το επιχειρησιακό ρίσκο

Διαρροή R&D σημαίνει απώλεια ανταγωνιστικού πλεονεκτήματος, κίνδυνο για πατέντες,
παραβίαση συμβολαίων με εταίρους, ρυθμιστικές επιπτώσεις (GxP/GMP integrity) και υποχρεώσεις
NIS2. Η ζημιά εδώ δεν είναι downtime — είναι μη αναστρέψιμη απώλεια
πνευματικής ιδιοκτησίας.

Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης

1. Credential Access (T1558.003): ένας απλός domain χρήστης ζητά TGS tickets για
   service accounts· αν οι κωδικοί είναι αδύναμοι/παλιοί, σπάνε offline.
2. Discovery (T1069): χαρτογράφηση δικαιωμάτων/ACLs αποκαλύπτει μονοπάτι προς
   ομάδες με πρόσβαση στο R&D.
3. Lateral Movement & Use of tickets (T1550/T1021): πρόσβαση σε application
   και database hosts του R&D.
4. Collection (T1213): πρόσβαση σε ELN/repositories — το κρίσιμο σημείο
   επίπτωσης.

Με τα service-account hashes, ο επόμενος στόχος είναι η χαρτογράφηση του συντομότερου μονοπατιού
προς τα κρίσιμα δεδομένα:

Τι δοκιμάζει η Audax ελεγχόμενα

• Active Directory & Cloud assessment:
  Kerberoasting exposure, αδύναμα service accounts, ACL attack paths.
• Internal penetration testing από τη σκοπιά ενός
  απλού χρήστη (assumed breach).
• Attack-path validation προς τα crown jewels του
  R&D, με αυστηρά ελεγχόμενο scope και χωρίς εξαγωγή πραγματικού IP.
• SOC/SIEM/EDR validation για ανίχνευση Kerberos
  abuse.

Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR

• πολλαπλά Kerberos TGS requests με RC4 από έναν χρήστη (Kerberoasting signature)·
• ασυνήθιστη χρήση service accounts εκτός κανονικών μοτίβων·
• μαζικά LDAP queries (BloodHound-style enumeration)·
• πρόσβαση σε R&D databases/ELN από μη αναμενόμενους λογαριασμούς·
• συσχέτιση identity + data-access telemetry.

Τακτική (Tactic)	ATT&CK ID	Τεχνική	Τι σημαίνει στο σενάριο
Credential Access	T1558.003	Kerberoasting	Αίτηση TGS για service accounts και offline crack.
Credential Access	T1550	Use Alternate Authentication Material	Χρήση tickets/hashes για πρόσβαση χωρίς κωδικό.
Discovery	T1069	Permission Groups Discovery	Χαρτογράφηση ACLs/ομάδων (BloodHound).
Lateral Movement	T1021	Remote Services	Μετακίνηση προς application/DB hosts του R&D.
Collection	T1213	Data from Information Repositories	Πρόσβαση σε ELN/repositories με IP & έρευνα.

Τι τεχνική απόδειξη παράγεται

Επικυρωμένα attack paths από BloodHound, λίστα ευπαθών service accounts, αποδείξεις πρόσβασης
(ανωνυμοποιημένες), detection gaps γύρω από Kerberos, risk rating και business impact mapping προς
την πνευματική ιδιοκτησία. Ενδεικτικοί δείκτες:

Τύπος	Ένδειξη (anonymized)	Πλαίσιο ανίχνευσης
Account	contoso.local\svc_eln	Service account με δικαιώματα R&D-AppAdmins.
Behavior	Πολλαπλά TGS requests (RC4) σε σύντομο χρόνο	Υπογραφή Kerberoasting.
Host	ELN-DB / sql-rnd (10.10.40.x)	Crown-jewel R&D database.
Tooling	BloodHound collector (LDAP burst)	Μαζική απαρίθμηση ACLs/sessions.
Behavior	Bulk read σε research repositories	Πιθανή εξαγωγή IP.

Τι παραδίδεται στη διοίκηση

Executive summary εστιασμένο στην προστασία IP, remediation roadmap (managed service accounts,
ισχυροί κωδικοί/gMSA, μείωση SPN exposure, tiering), παρατηρήσεις ανίχνευσης, σύνδεση με GxP data
integrity και NIS2, και πλάνο retesting.

Πώς μειώνεται ο κίνδυνος

• μετάβαση σε group Managed Service Accounts (gMSA) και ισχυρούς, τυχαίους κωδικούς·
• μείωση SPNs, AES αντί RC4, έλεγχος υπερβολικών δικαιωμάτων στο AD·
• tiering διαχείρισης και segmentation γύρω από το R&D·
• purple teaming για επικύρωση Kerberos detections·
• retesting μετά τις διορθώσεις.

Συχνές ερωτήσεις

Τι είναι το Kerberoasting με απλά λόγια;

Είναι τεχνική όπου ο επιτιθέμενος, με έναν απλό λογαριασμό χρήστη, ζητά νόμιμα «εισιτήρια» υπηρεσιών από το Active Directory και προσπαθεί να σπάσει offline τους κωδικούς των service accounts. Δεν απαιτεί δικαιώματα διαχειριστή και, χωρίς κατάλληλη παρακολούθηση, περνά συχνά απαρατήρητο.

Γιατί απειλεί συγκεκριμένα το R&D και την πνευματική ιδιοκτησία;

Τα service accounts έχουν συχνά ευρεία πρόσβαση σε file servers, συστήματα διαχείρισης εγγράφων και βάσεις όπου φυλάσσονται ερευνητικά δεδομένα, φάκελοι σκευασμάτων και τεκμηρίωση. Ένας παραβιασμένος κωδικός service account μπορεί να γίνει το κλειδί για το πιο πολύτιμο περιουσιακό στοιχείο της εταιρείας.

Θα επηρεάσει ο έλεγχος το Active Directory ή την παραγωγή;

Όχι. Οι τεχνικές που χρησιμοποιούνται είναι ελεγχόμενες και κατά κύριο λόγο παθητικές — δεν τροποποιούνται λογαριασμοί, δεν αλλάζουν κωδικοί και δεν γίνεται καμία παρέμβαση σε συστήματα παραγωγής. Όλα εκτελούνται βάσει συμφωνημένων κανόνων εμπλοκής.

Τι αποκομίζει η διοίκηση από ένα τέτοιο assessment;

Μια τεκμηριωμένη απάντηση στο ερώτημα «ποιος μπορεί ρεαλιστικά να φτάσει στο IP μας και θα το αντιλαμβανόμασταν;», μαζί με executive report και ιεραρχημένο πλάνο διορθώσεων. Η τεκμηρίωση αυτή είναι αξιοποιήσιμη και σε συζητήσεις με συνεργάτες, πελάτες και ελεγκτές.