Kerberoast
Використовуйте Trickest для легкого створення та автоматизації робочих процесів, підтримуваних найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Kerberoast
Kerberoasting зосереджується на отриманні TGS квитків, зокрема тих, що стосуються служб, які працюють під обліковими записами користувачів в Active Directory (AD), виключаючи облікові записи комп'ютерів. Шифрування цих квитків використовує ключі, які походять з паролів користувачів, що дозволяє можливість офлайн злому облікових даних. Використання облікового запису користувача як служби вказується ненульовим значенням властивості "ServicePrincipalName".
Для виконання Kerberoasting необхідний обліковий запис домену, здатний запитувати TGS квитки; однак цей процес не вимагає спеціальних привілеїв, що робить його доступним для будь-кого з дійсними доменними обліковими даними.
Ключові моменти:
Kerberoasting націлений на TGS квитки для служб облікових записів користувачів в AD.
Квитки, зашифровані ключами з паролів користувачів, можуть бути зламані офлайн.
Служба визначається ненульовим ServicePrincipalName.
Не потрібні спеціальні привілеї, лише дійсні доменні облікові дані.
Атака
Інструменти Kerberoasting зазвичай запитують RC4 шифрування
під час виконання атаки та ініціювання запитів TGS-REQ. Це пов'язано з тим, що RC4 є слабшим і легшим для злому офлайн за допомогою таких інструментів, як Hashcat, ніж інші алгоритми шифрування, такі як AES-128 та AES-256.
Хеші RC4 (тип 23) починаються з $krb5tgs$23$*
, тоді як AES-256 (тип 18) починаються з $krb5tgs$18$*
`.
Linux
Багатофункціональні інструменти, включаючи дамп користувачів, які підлягають kerberoast:
Windows
Перелічити користувачів, які підлягають Kerberoast
Техніка 1: Запросіть TGS та вивантажте його з пам'яті
Техніка 2: Автоматизовані інструменти
Коли запитується TGS, генерується подія Windows 4769 - Було запитано квиток служби Kerberos
.
Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси, підтримувані найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Cracking
Persistence
Якщо у вас є достатньо прав над користувачем, ви можете зробити його придатним для керберостингу:
Ви можете знайти корисні інструменти для атак kerberoast тут: https://github.com/nidem/kerberoast
Якщо ви отримали цю помилку з Linux: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
, це через ваш локальний час, вам потрібно синхронізувати хост з DC. Є кілька варіантів:
ntpdate <IP of DC>
- Застаріло з Ubuntu 16.04rdate -n <IP of DC>
Зменшення ризиків
Kerberoasting може бути проведено з високим ступенем прихованості, якщо це експлуатовано. Для виявлення цієї активності слід звернути увагу на Security Event ID 4769, який вказує на те, що запит на квиток Kerberos був зроблений. Однак, через високу частоту цієї події, необхідно застосувати специфічні фільтри для ізоляції підозрілої активності:
Ім'я служби не повинно бути krbtgt, оскільки це нормальний запит.
Імена служб, що закінчуються на $, слід виключити, щоб уникнути включення облікових записів машин, що використовуються для служб.
Запити з машин слід фільтрувати, виключаючи імена облікових записів, відформатовані як machine@domain.
Слід враховувати лише успішні запити на квитки, які ідентифікуються кодом помилки '0x0'.
Найголовніше, тип шифрування квитка повинен бути 0x17, який часто використовується в атаках Kerberoasting.
Щоб зменшити ризик Kerberoasting:
Переконайтеся, що паролі облікових записів служб важко вгадати, рекомендується довжина більше 25 символів.
Використовуйте управляючі облікові записи служб, які пропонують переваги, такі як автоматичні зміни паролів та делеговане управління іменами службових принципалів (SPN), що підвищує безпеку проти таких атак.
Впроваджуючи ці заходи, організації можуть значно зменшити ризик, пов'язаний з Kerberoasting.
Kerberoast без облікового запису домену
У вересні 2022 року новий спосіб експлуатації системи був представлений дослідником на ім'я Чарлі Кларк, поділений через його платформу exploit.ph. Цей метод дозволяє отримувати службові квитки (ST) через запит KRB_AS_REQ, який, що дивно, не вимагає контролю над жодним обліковим записом Active Directory. По суті, якщо принципал налаштований таким чином, що не вимагає попередньої аутентифікації — сценарій, подібний до того, що в кібербезпеці відомий як атака AS-REP Roasting — цю характеристику можна використати для маніпуляції процесом запиту. Зокрема, шляхом зміни атрибута sname в тілі запиту система обманюється на видачу ST замість стандартного зашифрованого квитка на отримання квитків (TGT).
Техніка повністю пояснена в цій статті: блог Semperis.
Вам потрібно надати список користувачів, оскільки у нас немає дійсного облікового запису для запиту LDAP за допомогою цієї техніки.
Linux
Windows
References
Використовуйте Trickest для легкого створення та автоматизації робочих процесів, підтримуваних найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Last updated