Kerberoast
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
Kerberoast
Kerberoasting, Active Directory (AD) altında kullanıcı hesapları ile çalışan hizmetlere ait TGS biletlerinin edinilmesine odaklanır; bilgisayar hesapları hariçtir. Bu biletlerin şifrelemesi, kullanıcı şifrelerinden kaynaklanan anahtarları kullanır ve bu da çevrimdışı kimlik bilgisi kırma olasılığını sağlar. Bir hizmetin kullanıcı hesabı olarak kullanıldığını gösteren, boş olmayan bir "ServicePrincipalName" özelliği vardır.
Kerberoasting gerçekleştirmek için, TGS biletleri talep edebilen bir alan hesabı gereklidir; ancak bu süreç özel ayrıcalıklar talep etmez, bu da geçerli alan kimlik bilgilerine sahip herkesin erişimine açık olduğu anlamına gelir.
Ana Noktalar:
Kerberoasting, AD içindeki kullanıcı-hesap hizmetleri için TGS biletlerini hedef alır.
Kullanıcı şifrelerinden gelen anahtarlarla şifrelenmiş biletler çevrimdışı kırılabilir.
Bir hizmet, boş olmayan bir ServicePrincipalName ile tanımlanır.
Özel ayrıcalıklar gerekmez, sadece geçerli alan kimlik bilgileri yeterlidir.
Saldırı
Kerberoasting araçları, saldırıyı gerçekleştirirken ve TGS-REQ isteklerini başlatırken genellikle RC4 şifrelemesi
talep eder. Bunun nedeni, RC4'ün daha zayıf olması ve Hashcat gibi araçlarla çevrimdışı kırılmasının, AES-128 ve AES-256 gibi diğer şifreleme algoritmalarına göre daha kolay olmasıdır.
RC4 (tip 23) hash'leri $krb5tgs$23$*
ile başlarken, AES-256 (tip 18) $krb5tgs$18$*
ile başlar.`
Linux
Çoklu özelliklere sahip araçlar, kerberoastable kullanıcıların bir dökümünü içerir:
Windows
Kerberoastable kullanıcıları listele
Teknik 1: TGS isteğinde bulunun ve bellekten dökün
Teknik 2: Otomatik araçlar
Bir TGS talep edildiğinde, Windows olayı 4769 - Bir Kerberos hizmet bileti talep edildi
oluşturulur.
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
Kırma
Süreklilik
Eğer bir kullanıcı üzerinde yeterli izinleriniz varsa, onu kerberoastable hale getirebilirsiniz:
You can find useful tools for kerberoast attacks here: https://github.com/nidem/kerberoast
If you find this error from Linux: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
bu, yerel saatinizle ilgilidir, hostu DC ile senkronize etmeniz gerekir. Birkaç seçenek var:
ntpdate <DC'nin IP'si>
- Ubuntu 16.04 itibarıyla kullanımdan kaldırılmıştır.rdate -n <DC'nin IP'si>
Mitigation
Kerberoasting, eğer istismar edilebiliyorsa, yüksek bir gizlilik derecesi ile gerçekleştirilebilir. Bu etkinliği tespit etmek için, bir Kerberos biletinin talep edildiğini gösteren Security Event ID 4769'a dikkat edilmelidir. Ancak, bu olayın yüksek sıklığı nedeniyle, şüpheli etkinlikleri izole etmek için belirli filtreler uygulanmalıdır:
Hizmet adı krbtgt olmamalıdır, çünkü bu normal bir taleptir.
$ ile biten hizmet adları, hizmetler için kullanılan makine hesaplarını dahil etmemek için hariç tutulmalıdır.
Makinalardan gelen talepler, machine@domain formatında olan hesap adları hariç tutularak filtrelenmelidir.
Sadece başarılı bilet talepleri dikkate alınmalıdır, bunlar '0x0' hata kodu ile tanımlanır.
En önemlisi, bilet şifreleme türü 0x17 olmalıdır, bu genellikle Kerberoasting saldırılarında kullanılır.
Kerberoasting riskini azaltmak için:
Hizmet Hesabı Parolalarının tahmin edilmesi zor olmasını sağlayın, 25 karakterden daha uzun bir uzunluk önerilmektedir.
Yönetilen Hizmet Hesaplarını kullanın; bu, otomatik parola değişiklikleri ve devredilmiş Hizmet Prensip Adı (SPN) Yönetimi gibi avantajlar sunarak bu tür saldırılara karşı güvenliği artırır.
Bu önlemleri uygulayarak, kuruluşlar Kerberoasting ile ilişkili riski önemli ölçüde azaltabilir.
Kerberoast w/o domain account
Eylül 2022'de, Charlie Clark adında bir araştırmacı tarafından bir sistemin istismar edilmesi için yeni bir yol ortaya çıkarıldı ve bu, exploit.ph platformu aracılığıyla paylaşıldı. Bu yöntem, herhangi bir Active Directory hesabı üzerinde kontrol gerektirmeden KRB_AS_REQ isteği aracılığıyla Hizmet Biletleri (ST) edinilmesine olanak tanır. Temelde, bir prensip, ön kimlik doğrulama gerektirmeyecek şekilde ayarlandığında—siber güvenlik alanında AS-REP Roasting saldırısı olarak bilinen bir senaryoya benzer—bu özellik, istek sürecini manipüle etmek için kullanılabilir. Özellikle, isteğin gövdesindeki sname niteliğini değiştirerek, sistemin standart şifreli Bilet Verme Bileti (TGT) yerine bir ST vermesi sağlanır.
Teknik, bu makalede tam olarak açıklanmaktadır: Semperis blog yazısı.
Bu teknikle LDAP'ı sorgulamak için geçerli bir hesabımız olmadığından, bir kullanıcı listesi sağlamalısınız.
Linux
Windows
Referanslar
Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:
Last updated