Kerberoast
Koristite Trickest da biste lako izgradili i automatizovali radne tokove pokretane najnaprednijim alatima zajednice na svetu. Pristupite danas:
Kerberoast
Kerberoasting se fokusira na dobijanje TGS karata, posebno onih koje se odnose na servise koji funkcionišu pod korisničkim nalozima u Active Directory (AD), isključujući računarske naloge. Enkripcija ovih karata koristi ključeve koji potiču od korisničkih lozinki, omogućavajući mogućnost offline pucanja kredencijala. Korišćenje korisničkog naloga kao servisa naznačeno je nepraznim svojstvom "ServicePrincipalName".
Za izvođenje Kerberoastinga, neophodan je domenski nalog sposoban za zahtevanje TGS karata; međutim, ovaj proces ne zahteva posebne privilegije, što ga čini dostupnim svima sa validnim domenskim kredencijalima.
Ključne tačke:
Kerberoasting cilja TGS karte za servise sa korisničkim nalozima unutar AD.
Karte enkriptovane ključevima od korisničkih lozinki mogu se pucati offline.
Servis je identifikovan svojstvom ServicePrincipalName koje nije null.
Nisu potrebne posebne privilegije, samo validni domenski kredencijali.
Napad
Alati za Kerberoasting obično zahtevaju RC4 enkripciju
prilikom izvođenja napada i pokretanja TGS-REQ zahteva. Ovo je zato što je RC4 slabija i lakša za pucanje offline korišćenjem alata poput Hashcat-a od drugih enkripcionih algoritama poput AES-128 i AES-256.
RC4 (tip 23) heševi počinju sa $krb5tgs$23$*
dok AES-256 (tip 18) počinju sa $krb5tgs$18$*
.
Linux
Višefunkcionalni alati uključujući dump korisnika koji su podložni kerberoast napadu:
Windows
Nabraj Kerberoastable korisnike
Tehnika 1: Zatražite TGS i izvucite ga iz memorije
Tehnika 2: Automatski alati
Kada se zatraži TGS, generiše se Windows događaj 4769 - Zatražen je Kerberos servisni tiket
.
Koristite Trickest da biste lako izgradili i automatizovali radne tokove pokretane najnaprednijim alatima zajednice. Pristupite danas:
Pucanje
Upornost
Ako imate dovoljno dozvola nad korisnikom, možete napraviti da bude podložan kerberoastingu:
Možete pronaći korisne alate za napade kerberoast ovde: https://github.com/nidem/kerberoast
Ako naiđete na ovu grešku sa Linux-a: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
to je zbog vašeg lokalnog vremena, trebate sinhronizovati računar sa DC. Postoje nekoliko opcija:
ntpdate <IP of DC>
- Zastarelo od Ubuntu 16.04rdate -n <IP of DC>
Otklanjanje
Kerberoasting može biti sproveden sa visokim stepenom prikrivenosti ako je iskoristiv. Da bi se detektovala ova aktivnost, pažnja treba da bude usmerena na Security Event ID 4769, što ukazuje da je zatražen Kerberos tiket. Međutim, zbog visoke frekvencije ovog događaja, specifični filteri moraju biti primenjeni kako bi se izdvojile sumnjive aktivnosti:
Ime servisa ne bi trebalo da bude krbtgt, jer je ovo normalan zahtev.
Imena servisa koja se završavaju sa $ treba isključiti kako bi se izbegli računi mašina korišćeni za servise.
Zahtevi sa mašina treba da budu filtrirani isključivanjem imena naloga formatiranih kao machine@domain.
Razmatraju se samo uspešni zahtevi za tiket, identifikovani kodom greške '0x0'.
Najvažnije, tip enkripcije tiketa treba da bude 0x17, što se često koristi u napadima Kerberoastinga.
Za smanjenje rizika od Kerberoastinga:
Osigurajte da su Lozinke servisnih naloga teške za pogoditi, preporučuje se dužina od više od 25 karaktera.
Koristite Upravljane servisne naloge, koji nude prednosti poput automatske promene lozinke i delegiranog upravljanja imenima servisnih principala (SPN), poboljšavajući sigurnost protiv takvih napada.
Implementacijom ovih mera, organizacije mogu značajno smanjiti rizik povezan sa Kerberoastingom.
Kerberoast bez naloga domena
U septembru 2022., novi način iskorišćavanja sistema je otkriven od strane istraživača po imenu Charlie Clark, podeljen preko njegove platforme exploit.ph. Ovaj metod omogućava sticanje Servisnih karata (ST) putem zahteva KRB_AS_REQ, što značajno ne zahteva kontrolu nad bilo kojim nalogom Active Directory-a. U osnovi, ako je princip postavljen na način da ne zahteva preautentikaciju - scenario sličan onome što je poznato u oblasti sajber bezbednosti kao AS-REP Roasting napad - ova karakteristika može se iskoristiti za manipulaciju procesa zahteva. Konkretno, izmenom atributa sname unutar tela zahteva, sistem je prevaren da izda ST umesto standardne šifrovane karte za dodelu karata (TGT).
Tehnika je potpuno objašnjena u ovom članku: Semperis blog post.
Morate obezbediti listu korisnika jer nemamo validan nalog za upit LDAP koristeći ovu tehniku.
Linux
Windows
Reference
Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane najnaprednijim alatima zajednice na svetu. Dobijte pristup danas:
Last updated