Kerberoast
Use Trickest para construir facilmente e automatizar fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo. Acesse hoje:
Kerberoast
O Kerberoasting foca na aquisição de tickets TGS, especificamente aqueles relacionados a serviços operando sob contas de usuário no Active Directory (AD), excluindo contas de computador. A criptografia desses tickets utiliza chaves que se originam das senhas de usuário, permitindo a possibilidade de quebra offline de credenciais. O uso de uma conta de usuário como serviço é indicado por uma propriedade "ServicePrincipalName" não vazia.
Para executar o Kerberoasting, uma conta de domínio capaz de solicitar tickets TGS é essencial; no entanto, esse processo não exige privilégios especiais, tornando-o acessível a qualquer pessoa com credenciais de domínio válidas.
Pontos Chave:
O Kerberoasting visa os tickets TGS para serviços de contas de usuário dentro do AD.
Tickets criptografados com chaves de senhas de usuário podem ser quebrados offline.
Um serviço é identificado por um ServicePrincipalName que não é nulo.
Nenhum privilégio especial é necessário, apenas credenciais de domínio válidas.
Ataque
As ferramentas de Kerberoasting geralmente solicitam criptografia RC4
ao realizar o ataque e iniciar solicitações TGS-REQ. Isso ocorre porque o RC4 é mais fraco e mais fácil de quebrar offline usando ferramentas como Hashcat do que outros algoritmos de criptografia, como AES-128 e AES-256.
Os hashes RC4 (tipo 23) começam com $krb5tgs$23$*
enquanto os AES-256 (tipo 18) começam com $krb5tgs$18$*
.
Linux
Ferramentas com várias funcionalidades, incluindo um dump de usuários que podem ser alvos de Kerberoast:
Windows
Enumerar usuários vulneráveis ao ataque Kerberoast
Técnica 1: Solicitar o TGS e despejá-lo da memória
Técnica 2: Ferramentas automáticas
Quando um TGS é solicitado, o evento do Windows 4769 - Um ticket de serviço Kerberos foi solicitado
é gerado.
Use Trickest para construir facilmente e automatizar fluxos de trabalho com base nas ferramentas comunitárias mais avançadas do mundo. Acesse hoje:
Quebra
Persistência
Se você tiver permissões suficientes sobre um usuário, você pode torná-lo passível de kerberoast:
Pode encontrar ferramentas úteis para ataques de kerberoast aqui: https://github.com/nidem/kerberoast
Se encontrar este erro no Linux: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
é devido à hora local, precisa de sincronizar o host com o DC. Existem algumas opções:
ntpdate <IP do DC>
- Descontinuado a partir do Ubuntu 16.04rdate -n <IP do DC>
Mitigação
O Kerberoasting pode ser realizado com um alto grau de furtividade se for explorável. Para detetar esta atividade, deve-se prestar atenção ao Security Event ID 4769, que indica que um ticket Kerberos foi solicitado. No entanto, devido à alta frequência deste evento, filtros específicos devem ser aplicados para isolar atividades suspeitas:
O nome do serviço não deve ser krbtgt, pois esta é uma solicitação normal.
Os nomes de serviço que terminam com $ devem ser excluídos para evitar incluir contas de máquinas usadas para serviços.
As solicitações de máquinas devem ser filtradas excluindo nomes de contas formatados como máquina@domínio.
Apenas as solicitações de ticket bem-sucedidas devem ser consideradas, identificadas por um código de falha de '0x0'.
Mais importante ainda, o tipo de criptografia do ticket deve ser 0x17, que é frequentemente usado em ataques de Kerberoasting.
Para mitigar o risco de Kerberoasting:
Certifique-se de que as Senhas de Contas de Serviço são difíceis de adivinhar, recomendando um comprimento de mais de 25 caracteres.
Utilize Contas de Serviço Gerenciadas, que oferecem benefícios como alterações automáticas de senha e gerenciamento delegado de Service Principal Name (SPN), aumentando a segurança contra tais ataques.
Ao implementar essas medidas, as organizações podem reduzir significativamente o risco associado ao Kerberoasting.
Kerberoast sem conta de domínio
Em setembro de 2022, uma nova maneira de explorar um sistema foi revelada por um pesquisador chamado Charlie Clark, compartilhada por meio de sua plataforma exploit.ph. Este método permite a aquisição de Service Tickets (ST) por meio de uma solicitação KRB_AS_REQ, o que não exige controle sobre nenhuma conta do Active Directory. Essencialmente, se um principal estiver configurado de tal forma que não exija pré-autenticação - um cenário semelhante ao que é conhecido no mundo da cibersegurança como um ataque de AS-REP Roasting - essa característica pode ser aproveitada para manipular o processo de solicitação. Especificamente, ao alterar o atributo sname dentro do corpo da solicitação, o sistema é enganado para emitir um ST em vez do Ticket Granting Ticket (TGT) criptografado padrão.
A técnica é totalmente explicada neste artigo: post do blog Semperis.
Você deve fornecer uma lista de usuários, pois não temos uma conta válida para consultar o LDAP usando essa técnica.
Linux
Windows
Referências
Use Trickest para construir e automatizar fluxos de trabalho facilmente, alimentados pelas ferramentas comunitárias mais avançadas do mundo. Acesse hoje:
Last updated