Archiviazione delle credenziali in Linux

I sistemi Linux archiviano le credenziali in tre tipi di cache, ovvero File (nella directory /tmp), Kernel Keyrings (un segmento speciale nel kernel Linux) e Memoria del processo (per uso singolo processo). La variabile default_ccache_name in /etc/krb5.conf rivela il tipo di archiviazione in uso, con il valore predefinito FILE:/tmp/krb5cc_%{uid} se non specificato.

Estrazione delle credenziali

Il documento del 2017, Kerberos Credential Thievery (GNU/Linux), illustra metodi per estrarre credenziali dalle keyring e dai processi, mettendo in evidenza il meccanismo di keyring del kernel Linux per la gestione e l'archiviazione delle chiavi.

Panoramica dell'estrazione delle keyring

La chiamata di sistema keyctl, introdotta nella versione del kernel 2.6.10, consente alle applicazioni dello spazio utente di interagire con le keyring del kernel. Le credenziali nelle keyring vengono archiviate come componenti (principal predefinito e credenziali), distinti dalle ccaches dei file che includono anche un'intestazione. Lo script hercules.sh del documento dimostra l'estrazione e la ricostruzione di questi componenti in una ccaches dei file utilizzabile per il furto delle credenziali.

Strumento di estrazione dei ticket: Tickey

Basandosi sui principi dello script hercules.sh, lo strumento tickey è specificamente progettato per estrarre i ticket dalle keyring, eseguito tramite /tmp/tickey -i.

Riferimenti

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/