Golden Ticket
Χρυσό εισιτήριο
Η επίθεση με το Χρυσό Εισιτήριο αποτελείται από τη δημιουργία ενός νόμιμου εισιτηρίου παροχής εισιτηρίων (TGT) που προσομοιώνει οποιονδήποτε χρήστη μέσω της NTLM κατακερματισμένης τιμής του λογαριασμού krbtgt του Active Directory (AD). Αυτή η τεχνική είναι ιδιαίτερα επωφελής επειδή επιτρέπει την πρόσβαση σε οποιαδήποτε υπηρεσία ή μηχάνημα εντός του τομέα ως ο προσομοιωμένος χρήστης. Είναι σημαντικό να θυμόμαστε ότι οι διαπιστευτήρια του λογαριασμού krbtgt δεν ενημερώνονται αυτόματα.
Για να αποκτήσετε την NTLM κατακερματισμένη τιμή του λογαριασμού krbtgt, μπορούν να χρησιμοποιηθούν διάφορες μεθόδοι. Μπορεί να εξαχθεί από τη διεργασία Local Security Authority Subsystem Service (LSASS) ή από το αρχείο NT Directory Services (NTDS.dit) που βρίσκεται σε οποιονδήποτε ελεγκτή τομέα (DC) εντός του τομέα. Επιπλέον, μια άλλη στρατηγική για την απόκτηση αυτής της NTLM κατακερματισμένης τιμής είναι η εκτέλεση μιας επίθεσης DCsync, η οποία μπορεί να πραγματοποιηθεί χρησιμοποιώντας εργαλεία όπως το lsadump::dcsync module στο Mimikatz ή το script secretsdump.py από το Impacket. Είναι σημαντικό να τονίσουμε ότι για την πραγματοποίηση αυτών των λειτουργιών, συνήθως απαιτούνται δικαιώματα διαχειριστή τομέα ή ένα παρόμοιο επίπεδο πρόσβασης.
Παρόλο που η NTLM κατακερματισμένη τιμή αποτελεί μια εφικτή μέθοδο για αυτόν τον σκοπό, συνιστάται ιδιαίτερα να πλαστογραφούνται τα εισιτήρια χρησιμοποιώντας τα κλειδιά κρυπτογράφησης Advanced Encryption Standard (AES) Kerberos (AES128 και AES256) για λόγους λειτουργικής ασφάλειας.
Μόλις έχετε το χρυσό εισιτήριο ενσωματωμένο, μπορείτε να έχετε πρόσβαση στα κοινόχρηστα αρχεία (C$) και να εκτελέσετε υπηρεσίες και WMI, οπότε μπορείτε να χρησιμοποιήσετε το psexec ή το wmiexec για να λάβετε ένα κέλυφος (φαίνεται ότι δεν μπορείτε να λάβετε ένα κέλυφος μέσω του winrm).
Παράκαμψη συχνών ανιχνεύσεων
Οι πιο συχνοί τρόποι ανίχνευσης ενός χρυσού εισιτηρίου είναι μέσω επιθεώρησης της κίνησης Kerberos στο δίκτυο. Από προεπιλογή, το Mimikatz υπογράφει το TGT για 10 χρόνια, το οποίο θα ξεχωρίσει ως ανώμαλο στις επόμενες αιτήσεις TGS που γίνονται με αυτό.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Χρησιμοποιήστε τις παραμέτρους /startoffset
, /endin
και /renewmax
για να ελέγξετε την αρχική καθυστέρηση, τη διάρκεια και το μέγιστο αριθμό ανανεώσεων (όλα σε λεπτά).
Δυστυχώς, ο χρόνος ζωής του TGT δεν καταγράφεται στα 4769, οπότε δεν θα βρείτε αυτές τις πληροφορίες στα αρχεία καταγραφής συμβάντων των Windows. Ωστόσο, αυτό που μπορείτε να συσχετίσετε είναι η παρατήρηση 4769 χωρίς προηγούμενο 4768. Δεν είναι δυνατόν να ζητηθεί ένα TGS χωρίς ένα TGT και αν δεν υπάρχει καταγραφή εκδόσεως TGT, μπορούμε να υποθέσουμε ότι δημιουργήθηκε απομονωμένα.
Για να αποφύγετε αυτόν τον έλεγχο ανίχνευσης, ελέγξτε τα diamond tickets:
pageDiamond TicketΑντιμετώπιση
4624: Είσοδος λογαριασμού
4672: Είσοδος διαχειριστή
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Άλλα μικρά κόλπα που μπορούν να κάνουν οι υπερασπιστές είναι η ειδοποίηση για τα 4769 για ευαίσθητους χρήστες, όπως ο προεπιλεγμένος λογαριασμός διαχειριστή του τομέα.
Αναφορές
[https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets] (https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets)
Last updated