Kerberoast
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της παγκόσμιας κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Kerberoast
Η διαδικασία Kerberoasting επικεντρώνεται στην απόκτηση TGS εισιτηρίων, ειδικότερα αυτών που σχετίζονται με υπηρεσίες που λειτουργούν υπό λογαριασμούς χρηστών στο Active Directory (AD), εξαιρώντας τους λογαριασμούς υπολογιστών. Η κρυπτογράφηση αυτών των εισιτηρίων χρησιμοποιεί κλειδιά που προέρχονται από κωδικούς πρόσβασης χρηστών, επιτρέποντας τη δυνατότητα αποκρυπτογράφησης διαπιστευτήριων εκτός σύνδεσης. Η χρήση ενός λογαριασμού χρήστη ως υπηρεσία υποδεικνύεται από τη μη κενή ιδιότητα "ServicePrincipalName".
Για την εκτέλεση του Kerberoasting, είναι απαραίτητος ένας λογαριασμός τομέα που μπορεί να ζητήσει TGS εισιτήρια· ωστόσο, αυτή η διαδικασία δεν απαιτεί ειδικά δικαιώματα, καθιστώντας την προσβάσιμη σε οποιονδήποτε με έγκυρα διαπιστευτήρια τομέα.
Κύρια Σημεία:
Το Kerberoasting στοχεύει σε TGS εισιτήρια για υπηρεσίες λογαριασμών χρηστών εντός του AD.
Τα εισιτήρια που κρυπτογραφούνται με κλειδιά από κωδικούς πρόσβασης χρηστών μπορούν να αποκρυπτογραφηθούν εκτός σύνδεσης.
Μια υπηρεσία αναγνωρίζεται από ένα ServicePrincipalName που δεν είναι κενό.
Δεν απαιτούνται ειδικά δικαιώματα, απλώς έγκυρα διαπιστευτήρια τομέα.
Επίθεση
Τα εργαλεία Kerberoasting συνήθως ζητούν κρυπτογράφηση RC4
κατά την εκτέλεση της επίθεσης και την έναρξη αιτημάτων TGS-REQ. Αυτό συμβαίνει επειδή το RC4 είναι ασθενέστερο και ευκολότερο να αποκρυπτογραφηθεί εκτός σύνδεσης χρησιμοποιώντας εργαλεία όπως το Hashcat από άλλους αλγόριθμους κρυπτογράφησης όπως το AES-128 και το AES-256.
Οι κατακερματισμοί RC4 (τύπος 23) ξεκινούν με $krb5tgs$23$*
ενώ οι AES-256 (τύπος 18) ξεκινούν με $krb5tgs$18$*
.
Linux
Εργαλεία με πολλαπλά χαρακτηριστικά συμπεριλαμβανομένης μιας λίστας με χρήστες που μπορούν να υποστούν Kerberoast.
Windows
Απαρίθμηση χρηστών που μπορούν να υποστούν Kerberoast
Τεχνική 1: Ζητήστε TGS και ανακτήστε το από τη μνήμη
Τεχνική 2: Αυτόματα εργαλεία
Όταν ζητείται ένα TGS, δημιουργείται το γεγονός του Windows 4769 - Ζητήθηκε ένα εισιτήριο υπηρεσίας Kerberos
.
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της παγκόσμιας πιο προηγμένης κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Σπάσιμο
Διατήρηση
Εάν έχετε επαρκή δικαιώματα πάνω σε έναν χρήστη μπορείτε να τον κάνετε kerberoastable:
Μπορείτε να βρείτε χρήσιμα εργαλεία για επιθέσεις kerberoast εδώ: https://github.com/nidem/kerberoast
Αν αντιμετωπίζετε αυτό το σφάλμα από το Linux: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
είναι λόγω της τοπικής ώρας σας, πρέπει να συγχρονίσετε τον υπολογιστή με τον DC. Υπάρχουν μερικές επιλογές:
ntpdate <IP του DC>
- Αποσυρμένο από το Ubuntu 16.04rdate -n <IP του DC>
Αντιμετώπιση
Η Kerberoasting μπορεί να πραγματοποιηθεί με υψηλό βαθμό αόρατης λειτουργίας αν είναι εκμεταλλεύσιμη. Για να ανιχνευθεί αυτή η δραστηριότητα, πρέπει να δοθεί προσοχή στο Security Event ID 4769, το οποίο υποδηλώνει ότι έχει ζητηθεί ένα εισιτήριο Kerberos. Ωστόσο, λόγω της υψηλής συχνότητας αυτού του γεγονότος, πρέπει να εφαρμοστούν συγκεκριμένα φίλτρα για να απομονωθούν ύποπτες δραστηριότητες:
Το όνομα υπηρεσίας δεν πρέπει να είναι krbtgt, καθώς αυτό είναι μια φυσιολογική αίτηση.
Τα ονόματα υπηρεσιών που τελειώνουν με $ πρέπει να εξαιρεθούν για να αποφευχθεί η συμπερίληψη λογαριασμών μηχανών που χρησιμοποιούνται για υπηρεσίες.
Οι αιτήσεις από μηχανές πρέπει να φιλτραριστούν αποκλείοντας τα ονόματα λογαριασμών μορφοποιημένα ως machine@domain.
Πρέπει να ληφθούν υπόψη μόνο οι επιτυχείς αιτήσεις εισιτηρίων, που αναγνωρίζονται από έναν κωδικό αποτυχίας '0x0'.
Το πιο σημαντικό, ο τύπος κρυπτογράφησης του εισιτηρίου πρέπει να είναι 0x17, ο οποίος χρησιμοποιείται συχνά σε επιθέσεις Kerberoasting.
Για να μειώσετε τον κίνδυνο του Kerberoasting:
Βεβαιωθείτε ότι οι κωδικοί πρόσβασης των λογαριασμών υπηρεσιών είναι δύσκολοι να μαντευτούν, συστήνοντας μήκος πάνω από 25 χαρακτήρες.
Χρησιμοποιήστε Διαχειριζόμενους Λογαριασμούς Υπηρεσιών, οι οποίοι προσφέρουν οφέλη όπως αυτόματες αλλαγές κωδικών πρόσβασης και αναθεωρημένη Διαχείριση Ονομάτων Υπηρεσιών Κύριου (SPN), ενισχύοντας την ασφάλεια ενάντια σε τέτοιου είδους επιθέσεις.
Με την εφαρμογή αυτών των μέτρων, οι οργανισμοί μπορούν να μειώσουν σημαντικά τον κίνδυνο που σχετίζεται με το Kerberoasting.
Kerberoast χωρίς λογαριασμό τομέα
Τον Σεπτέμβριο του 2022, ένας νέος τρόπος εκμετάλλευσης ενός συστήματος φέρθηκε στο φως από έναν ερευνητή με το όνομα Charlie Clark, κοινοποιημένος μέσω της πλατφόρμας του exploit.ph. Αυτή η μέθοδος επιτρέπει την απόκτηση Εισιτηρίων Υπηρεσιών (ST) μέσω ενός αιτήματος KRB_AS_REQ, το οποίο εντυπωσιακά δεν απαιτεί έλεγχο επί κάποιου λογαριασμού Active Directory. Βασικά, αν ένας αρχέγονος είναι ρυθμισμένος με τέτοιο τρόπο ώστε να μην απαιτεί προ-πιστοποίηση - ένα σενάριο παρόμοιο με αυτό που είναι γνωστό στον κυβερνοχώρο ως επίθεση AS-REP Roasting - αυτό το χαρακτηριστικό μπορεί να αξιοποιηθεί για τη χειραγώγηση της διαδικασίας αιτήματος. Συγκεκριμένα, με την τροποποίηση του χαρακτηριστικού sname μέσα στο σώμα του αιτήματος, το σύστημα απατείται να εκδώσει ένα ST αντί για το κανονικό κρυπτογραφημένο Εισιτήριο Χορήγησης Εισιτηρίων (TGT).
Η τεχνική εξηγείται πλήρως σε αυτό το άρθρο: Ανάρτηση ιστολογίου Semperis.
Πρέπει να παρέχετε μια λίστα χρηστών επειδή δεν έχουμε έγκυρο λογαριασμό για να ερωτήσουμε το LDAP χρησιμοποιώντας αυτήν την τεχνική.
Linux
Windows
Αναφορές
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Last updated