Linuxでの資格情報の保存

Linuxシステムは、ファイル（/tmpディレクトリ内）、カーネルキーリング（Linuxカーネル内の特別なセグメント）、およびプロセスメモリ（単一プロセス用）の3種類のキャッシュに資格情報を保存します。/etc/krb5.confのdefault_ccache_name変数は、指定されていない場合はFILE:/tmp/krb5cc_%{uid}にデフォルトで設定されている保存タイプを示します。

資格情報の抽出

2017年の論文、Kerberos Credential Thievery (GNU/Linux)では、キーリングやプロセスから資格情報を抽出する方法が概説されており、Linuxカーネルのキーリングメカニズムがキーの管理と保存に使用されています。

キーリングの抽出概要

カーネルバージョン2.6.10で導入されたkeyctlシステムコールにより、ユーザースペースアプリケーションがカーネルキーリングとやり取りすることが可能となりました。キーリング内の資格情報はコンポーネント（デフォルトのプリンシパルと資格情報）として保存されており、ヘッダーも含むファイルccacheとは異なります。論文のhercules.shスクリプトは、これらのコンポーネントを抽出して再構築し、資格情報を盗むための使用可能なファイルccacheにします。

チケット抽出ツール：Tickey

hercules.shスクリプトの原則に基づいて、tickeyツールは、キーリングからチケットを抽出するために特別に設計されており、/tmp/tickey -iを実行して使用します。

参考文献

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/