Over Pass the Hash/Pass the Key
Overpass The Hash/Pass The Key (PTK)
**Overpass The Hash/Pass The Key (PTK)**攻撃は、従来のNTLMプロトコルが制限され、Kerberos認証が優先される環境向けに設計されています。この攻撃は、ユーザーのNTLMハッシュまたはAESキーを利用してKerberosチケットを取得し、ネットワーク内のリソースに不正アクセスすることを可能にします。
この攻撃を実行するためには、最初に対象ユーザーアカウントのNTLMハッシュまたはパスワードを取得する必要があります。この情報を入手した後、アカウントのチケット発行チケット(TGT)を取得することで、攻撃者はユーザーが権限を持つサービスやマシンにアクセスできます。
このプロセスは、次のコマンドで開始できます:
AES256を必要とするシナリオでは、-aesKey [AES key]オプションを利用できます。さらに、取得したチケットは、smbexec.pyやwmiexec.pyなどのさまざまなツールと組み合わせて使用することができ、攻撃範囲が広がります。
_PyAsn1Error_や_KDC cannot find the name_などの問題が発生した場合は、通常、Impacketライブラリを更新するか、IPアドレスの代わりにホスト名を使用して、Kerberos KDCとの互換性を確保することで解決されます。
このテクニックの別の側面を示すRubeus.exeを使用した代替コマンドシーケンスは次のとおりです:
この方法は、Pass the Keyアプローチをミラーリングし、チケットを直接乗っ取って認証目的で利用します。TGTリクエストの開始は、デフォルトでRC4-HMACの使用を示すイベント4768: A Kerberos authentication ticket (TGT) was requestedをトリガーし、しかし、現代のWindowsシステムではAES256が好まれます。
運用セキュリティに準拠し、AES256を使用するには、次のコマンドを適用できます:
参考文献
Last updated
