Introduction

Consultez le post original pour toutes les informations sur cette technique.

En résumé: si vous pouvez écrire dans la propriété msDS-KeyCredentialLink d'un utilisateur/ordinateur, vous pouvez récupérer le hachage NT de cet objet.

Dans le post, une méthode est décrite pour configurer des informations d'identification d'authentification clé publique-privée afin d'acquérir un billet de service unique qui inclut le hachage NTLM de la cible. Ce processus implique le hachage NTLM_SUPPLEMENTAL_CREDENTIAL crypté dans le Certificat d'Attribut de Privilège (PAC), qui peut être déchiffré.

Exigences

Pour appliquer cette technique, certaines conditions doivent être remplies :

• Un minimum d'un contrôleur de domaine Windows Server 2016 est nécessaire.

• Le contrôleur de domaine doit avoir un certificat numérique d'authentification de serveur installé.

• L'Active Directory doit être au niveau fonctionnel Windows Server 2016.

• Un compte avec des droits délégués pour modifier l'attribut msDS-KeyCredentialLink de l'objet cible est requis.

Abus

L'abus de Key Trust pour les objets informatiques englobe des étapes au-delà de l'obtention d'un Ticket Granting Ticket (TGT) et du hachage NTLM. Les options incluent :

1. Créer un billet d'argent RC4 pour agir en tant qu'utilisateurs privilégiés sur l'hôte prévu.

2. Utiliser le TGT avec S4U2Self pour l'impersonation d'utilisateurs privilégiés, nécessitant des modifications au billet de service pour ajouter une classe de service au nom du service.

Un avantage significatif de l'abus de Key Trust est sa limitation à la clé privée générée par l'attaquant, évitant la délégation à des comptes potentiellement vulnérables et ne nécessitant pas la création d'un compte informatique, ce qui pourrait être difficile à supprimer.

Outils

### Whisker

Il est basé sur DSInternals fournissant une interface C# pour cette attaque. Whisker et son homologue Python, pyWhisker, permettent la manipulation de l'attribut msDS-KeyCredentialLink pour prendre le contrôle des comptes Active Directory. Ces outils prennent en charge diverses opérations telles que l'ajout, la liste, la suppression et l'effacement des informations d'identification clés de l'objet cible.

Les fonctions de Whisker incluent :

• Ajouter : Génère une paire de clés et ajoute une information d'identification clé.

• Lister : Affiche toutes les entrées d'informations d'identification clé.

• Supprimer : Supprime une information d'identification clé spécifiée.

• Effacer : Efface toutes les informations d'identification clés, perturbant potentiellement l'utilisation légitime de WHfB.

Whisker.exe add /target:computername$ /domain:constoso.local /dc:dc1.contoso.local /path:C:\path\to\file.pfx /password:P@ssword1

pyWhisker

Il étend la fonctionnalité de Whisker aux systèmes basés sur UNIX, en tirant parti d'Impacket et de PyDSInternals pour des capacités d'exploitation complètes, notamment la liste, l'ajout et la suppression de KeyCredentials, ainsi que leur importation et exportation au format JSON.

python3 pywhisker.py -d "domain.local" -u "user1" -p "complexpassword" --target "user2" --action "list"

ShadowSpray

ShadowSpray vise à exploiter les autorisations GenericWrite/GenericAll que de larges groupes d'utilisateurs peuvent avoir sur des objets de domaine pour appliquer largement les ShadowCredentials. Cela implique de se connecter au domaine, de vérifier le niveau fonctionnel du domaine, d'énumérer les objets de domaine, et de tenter d'ajouter des KeyCredentials pour l'acquisition de TGT et la révélation du hachage NT. Les options de nettoyage et les tactiques d'exploitation récursive améliorent son utilité.

Références

• https://posts.specterops.io/shadow-credentials-abusing-key-trust-account-mapping-for-takeover-8ee1a53566ab

• https://github.com/eladshamir/Whisker

• https://github.com/Dec0ne/ShadowSpray/

• https://github.com/ShutdownRepo/pywhisker