Tickets Kerberos

Tickets Kerberos

Celia Catalán


Heute werden wir über eine der verschiedenen Techniken sprechen, die wir normalerweise bei internen Pentests anwenden

Sobald es einem Angreifer gelingt, eine Domäne zu kompromittieren, nachdem er hohe Berechtigungen wie Domänenadministrator oder Unternehmensadministrator erlangt hat, ist es für ein Unternehmen sehr schwierig, die volle Kontrolle über die Gesamtstruktur zurückzugewinnen und sie als 100 % sauber zu betrachten.

Angreifer mit diesem Zugriff können ihre hohen Privilegien nutzen, um spezielle Anmeldeinformationen aus der Domäne zu extrahieren und diese zu nutzen, um Persistenz zu erlangen und jederzeit als beliebiger Benutzer wieder Zugriff zu erhalten. Diese Anmeldeinformationen werden selten oder nie geändert, sodass Angreifer praktisch unbegrenzten Zugriff haben.

In verschiedenen Veröffentlichungen werden wir einige dieser Persistenztechniken sehen, die auf der Verwendung von Kerberos-Tickets basieren.

GOLDENES TICKET

Bei einem Golden-Ticket-Angriff wird ein legitimes Ticket Granting Ticket (TGT) erstellt, das sich mithilfe des NTLM-Hashs des Active Directory-Kontos KRBTGT als beliebiger Benutzer ausgibt. Diese Technik ist besonders leistungsstark, da sie als imitierter Benutzer Zugriff auf jeden Dienst oder Computer innerhalb der Domäne ermöglicht. Denken Sie unbedingt daran, dass die Anmeldeinformationen für das KRBTGT-Konto niemals automatisch aktualisiert werden.

Um den NTLM-Hash des KRBTGT-Kontos zu erhalten, können verschiedene Methoden verwendet werden:

  • Es kann aus dem Speicher extrahiert werden, indem der LSASS-Prozess (Local Security Authority Subsystem Service) eines Domänencontrollers ausgegeben wird.
  • Es kann auch aus der NT-Verzeichnisdienstdatei (NTDS.dit) extrahiert werden, die sich auf einem beliebigen Domänencontroller befindet.
  • Oder es kann nach der Ausführung eines DCsync-Angriffs abgerufen werden, was mit Tools wie Mimikatz oder dem Skript „secretsdump.py“ von Impacket erfolgen kann.

Es ist wichtig zu erwähnen, dass zum Ausführen dieser Vorgänge normalerweise Domänenadministratorrechte oder eine ähnliche Zugriffsebene (Authentifizierung/System) erforderlich sind. Aus diesem Grund werden Golden Tickets verwendet, um seitliche Bewegungen im Rest der Domäne durchzuführen und um Persistenz herzustellen, und nicht für die Eskalation von Privilegien.

Obwohl NTLM-Hashing für diesen Zweck eine praktikable Methode ist, wird wie im Fall von Silver Ticket empfohlen, diesen Angriff aus Gründen der Betriebssicherheit und zur geringeren Erkennungsfähigkeit mit Kerberos-AES-Schlüsseln (Advanced Encryption Standard) auszuführen.

Auswirkungen

Ein Golden Ticket ermöglicht unbegrenzten und dauerhaften Zugriff auf jede Ressource innerhalb der Domäne, bis der KRBTGT-Schlüssel geändert wird, was ein komplexer und störender Prozess sein kann.

Ausbeutung

Für dieses Szenario gehen wir von einer kompromittierten Domäne aus, in der wir über Domänenadministrator-Anmeldeinformationen verfügen und es uns gelungen ist, die DCSync-Technik durchzuführen und so die Kerberos-Schlüssel des KRBTGT-Kontos zu erhalten.

Ticketerstellung

Um das Golden Ticket zu erstellen, können wir das Rubeus-Tool verwenden und den folgenden Befehl ausführen:

Rubeus.exe golden /aes256: 42a38fe97bcf9c48190e5d77e48faa7d95b7fed838c8910845a86d66d78f188a /user:Eddard.stark /domain:north.sevenkingdoms.local /sid:S-1-5-21-1430251130- 2586379517-4083755373 /nowrap


  • Aes256: Aes256-Schlüssel des zuvor extrahierten KRBTGT-Kontos
  • Benutzer: Benutzer, der unpersönlich gemacht werden soll, in diesem Fall ein Domänenadministrator
  • Domäne: Domänenname
  • Sid: SID der Domäne

Importieren Sie das Ticket

Sobald das Ticket erhalten ist, können wir überprüfen, dass wir keinen SMB-Zugriff auf den Domänencontroller haben.

ls \\winterfell\c$



Um Zugriff zu erhalten, importieren wir zunächst das Ticket in unsere Sitzung. Wir können Rubeus erneut verwenden, um dies zu erreichen:

Rubeus.exe createnetonly /program:C:\Windows\System32\cmd.exe /domain:NORTH /username:Eddard.stark /password:PassFake /ticket: doIGDDCCBgigAwI[…]tcy5sb2NhbA==



  • Programm: Befehl zur Ausführung dort, wo das Ticket eingefügt wird
  • Domäne: Domänenname
  • Benutzername: Domänenbenutzer
  • Passwort: Benutzerpasswort. Es ist nicht erforderlich, das echte Passwort des Benutzers zu kennen
  • Ticket: Das zuvor erstellte Ticket

Sobald das Ticket importiert ist, können wir auf den DC zugreifen.

ls \\winterfell\c$



Wir überlassen es Ihnen, bestimmte Aspekte zu berücksichtigen, wenn wir über die Möglichkeit eines Golden Tickets nachdenken.



Erforderliche Anmeldeinformationen

Besonderheit Goldenes Ticket
Ziel Zugriff auf die gesamte Domain
Erforderliche Anmeldeinformationen Domänenadministrator oder KRBTGT
Auswirkungen Unbegrenzter Domainzugriff
Komplexität des Angriffs hoch
Wichtige Gegenmaßnahmen KRBTGT-Schutz, umfassende Überwachung


Und so viel zu den Tickets und nicht gerade zur Messe, wir sehen uns im nächsten Teil.

Álvaro Temes , Cybersicherheitsanalyst bei Zerolynx .
Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.