Entrades Kerberos
Celia Catalán
Avui parlarem sobre una de les diferents tècniques que solem dur a terme sobre pentest intern
Quan un atacant aconsegueix comprometre un domini després d'assolir privilegis alts, com per exemple Domain Admin o Enterprise Admin, és molt difícil per a una organització recuperar el control total del bosc i considerar-lo 100% net.
Els atacants amb aquest accés poden fer ús dels seus alts privilegis per extreure credencials especials del domini i fer-les servir per guanyar persistència, podent tornar a obtenir accessos com qualsevol usuari en qualsevol moment. Aquestes credencials es modifiquen rarament o fins i tot no es modifiquen mai, cosa que atorga als atacants un accés pràcticament il·limitat.
Al llarg de diferents publicacions, veurem algunes d'aquestes tècniques de persistència, les quals es basen en l'ús de tiquets de Kerberos.
BILLET D'OR
Un atac Golden Ticket consisteix en crear un Ticket Granting Ticket (TGT) legítim que es fa passar per qualsevol usuari mitjançant l'ús del hash NTLM del compte KRBTGT d'Active Directory. Aquesta tècnica és particularment poderosa, ja que permet accedir a qualsevol servei o màquina dins del domini com l'usuari suplantat. És fonamental recordar que les credencials del compte KRBTGT mai no s'actualitzen automàticament.
Per adquirir el hash NTLM del compte KRBTGT, es poden emprar diversos mètodes:
- Es pot extreure de la memòria, fent un bolcat del procés LSASS (Local Security Authority Subsystem Service) d'un Controlador de Domini.
- També es pot extreure del fitxer de serveis de directori NT (NTDS.dit) ubicat a qualsevol Controlador de Domini.
- O bé es pot obtenir després d'executar un atac DCsync, que es pot fer utilitzant eines com Mimikatz o l'script secretsdump.py d'Impacket.
És important esmentar que, per fer aquestes operacions, normalment es requereixen privilegis de Domain Admin o un nivell similar d'accés (auth/system). Per aquesta raó, els Golden Tickets són utilitzats per fer moviments laterals per la resta del domini, així com establir persistència i no per a l'escalada de privilegis.
Igual que en el cas de Silver Ticket, encara que el hash NTLM serveix com a mètode viable per a aquest propòsit, es recomana l'execució d'aquest atac utilitzant les claus AES (Advanced Encryption Standard) de Kerberos per raons de seguretat operativa i ser menys detectable .
Impacte
Un Golden Ticket permet accés il·limitat i persistent a qualsevol recurs dins del domini fins que la clau KRBTGT es canviï, cosa que pot ser un procés complex i disruptiu.
Explotació
Per a aquest escenari, partim de la base d'un domini compromès, on tenim credencials de Domain Admin i hem aconseguit fer la tècnica de DCSync, obtenint així les claus de Kerberos del compte KRBTGT.
Creació del tiquet
Per crear el Golden Ticket, podem fer ús de l'eina Rubeus i executar la següent ordre:
Rubeus.exe golden /aes256: 42a38fe97bcf9c48190e5d77e48faa7d95b7fed838c8910845a86d66d78f188a /usuari:Eddard.stark /domain:north.sevenkingdoms:-1515-2-2-153-2-2-2 86379517-4083755373 /nowrap
- Aes256: Clau aes256 del compte KRBTGT extret anteriorment
- User: Usuari a impersonalitzar, en aquest cas un Domain Admin
- Domain: Nom del domini
- Sid: SID del domini
Importar el tiquet
- Program: Comanda a executar on s'injectarà el tiquet
- Domain: Nom del domini
- Username: Usuari del domini
- Password: Contrasenya de l'usuari. No cal conèixer la contrasenya real de l'usuari
- Tiquet: El tiquet creat anteriorment
| Característica | Bitllet d'Or |
|---|---|
| Objectiu | Accés a tot el domini |
| Credencials Necessàries | Administrador de domini o KRBTGT |
| Impacte | Accés il·limitat al domini |
| Complexitat de l'atac | Alta |
| Contramesures Clau | Protecció de KRBTGT, monitorització exhaustiva |
