Over Pass the Hash/Pass the Key
Overpass The Hash/Pass The Key (PTK)
L'attacco Overpass The Hash/Pass The Key (PTK) è progettato per ambienti in cui il tradizionale protocollo NTLM è limitato e l'autenticazione Kerberos ha la precedenza. Questo attacco sfrutta l'hash NTLM o le chiavi AES di un utente per ottenere i biglietti Kerberos, consentendo l'accesso non autorizzato alle risorse all'interno di una rete.
Per eseguire questo attacco, il primo passo consiste nell'acquisire l'hash NTLM o la password dell'account dell'utente preso di mira. Una volta ottenute queste informazioni, è possibile ottenere un Ticket Granting Ticket (TGT) per l'account, consentendo all'attaccante di accedere a servizi o macchine a cui l'utente ha autorizzazioni.
Il processo può essere avviato con i seguenti comandi:
Per scenari che richiedono AES256, l'opzione -aesKey [chiave AES]
può essere utilizzata. Inoltre, il ticket acquisito potrebbe essere utilizzato con vari strumenti, tra cui smbexec.py o wmiexec.py, ampliando così la portata dell'attacco.
Problemi riscontrati come PyAsn1Error o KDC cannot find the name sono tipicamente risolti aggiornando la libreria Impacket o utilizzando il nome host invece dell'indirizzo IP, garantendo la compatibilità con il KDC Kerberos.
Una sequenza di comandi alternativa utilizzando Rubeus.exe mostra un altro aspetto di questa tecnica:
Questo metodo riflette l'approccio Pass the Key, con un focus sul dirottamento e sull'utilizzo diretto del ticket per scopi di autenticazione. È cruciale notare che l'iniziazione di una richiesta TGT attiva l'evento 4768: È stata richiesta un'autorizzazione Kerberos (TGT)
, indicando un utilizzo predefinito di RC4-HMAC, anche se i sistemi Windows moderni preferiscono AES256.
Per conformarsi alla sicurezza operativa e utilizzare AES256, può essere applicato il seguente comando:
Riferimenti
Last updated