Golden Ticket
Złoty bilet
Atak Złotego biletu polega na utworzeniu legalnego biletu upoważniającego do wydawania biletów (TGT) podając się za dowolnego użytkownika poprzez użycie skrótu NTLM konta krbtgt Active Directory (AD). Ta technika jest szczególnie korzystna, ponieważ umożliwia dostęp do dowolnej usługi lub maszyny w domenie jako podszywający się użytkownik. Ważne jest pamiętanie, że poświadczenia konta krbtgt nie są automatycznie aktualizowane.
Aby uzyskać skrót NTLM konta krbtgt, można zastosować różne metody. Może być on wyodrębniony z procesu Local Security Authority Subsystem Service (LSASS) lub pliku NT Directory Services (NTDS.dit) znajdującego się na dowolnym kontrolerze domeny (DC) w domenie. Ponadto, wykonanie ataku DCsync to kolejna strategia pozyskania tego skrótu NTLM, który można przeprowadzić za pomocą narzędzi takich jak moduł lsadump::dcsync w Mimikatz lub skrypt secretsdump.py w Impacket. Ważne jest podkreślenie, że do wykonania tych operacji zwykle wymagane są uprawnienia administratora domeny lub podobny poziom dostępu.
Chociaż skrót NTLM jest odpowiednią metodą w tym celu, zdecydowanie zaleca się tworzenie biletów za pomocą zaawansowanego standardu szyfrowania Advanced Encryption Standard (AES) Kerberos (AES128 i AES256) ze względów bezpieczeństwa operacyjnego.
Po wstrzyknięciu złotego biletu, można uzyskać dostęp do udostępnionych plików (C$) oraz wykonywać usługi i WMI, dzięki czemu można użyć psexec lub wmiexec do uzyskania powłoki (wygląda na to, że nie można uzyskać powłoki za pomocą winrm).
Omijanie często występujących wykryć
Najczęstsze sposoby wykrywania złotego biletu polegają na inspekcji ruchu Kerberos w sieci. Domyślnie Mimikatz podpisuje TGT na 10 lat, co będzie się wyróżniać jako anomalne w kolejnych żądaniach TGS z nim związanych.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Użyj parametrów /startoffset
, /endin
i /renewmax
, aby kontrolować przesunięcie początkowe, czas trwania i maksymalną liczbę odnowień (wszystko w minutach).
Niestety, czas życia TGT nie jest rejestrowany w 4769, więc nie znajdziesz tych informacji w dziennikach zdarzeń systemu Windows. Jednak to, co możesz skorelować, to obecność 4769 bez wcześniejszego 4768. Nie jest możliwe żądanie TGS bez TGT, a jeśli nie ma informacji o wydaniu TGT, możemy wnioskować, że został on sfałszowany offline.
Aby obejść tę kontrolę wykrywania, sprawdź bilety diamentowe:
pageDiamond TicketZapobieganie
4624: Logowanie konta
4672: Logowanie administratora
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Inne małe sztuczki, które mogą zastosować obrońcy, to alarmowanie o 4769 dla użytkowników ochronnych, takich jak domyślne konto administratora domeny.
Odwołania
[https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets] (https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets)
Last updated