Golden Ticket
Tiketi ya Dhahabu
Shambulio la Tiketi ya Dhahabu linajumuisha kuunda Tiketi Halali ya Kutoa Tiketi (TGT) kwa kujifanya kuwa mtumiaji yeyote kwa kutumia hash ya NTLM ya akaunti ya krbtgt ya Active Directory (AD). Mbinu hii ni muhimu sana kwa sababu inawezesha upatikanaji wa huduma au mashine yoyote ndani ya kikoa kama mtumiaji anayejifanya. Ni muhimu kukumbuka kuwa vyeti vya akaunti ya krbtgt havisasishwi moja kwa moja.
Kwa kupata hash ya NTLM ya akaunti ya krbtgt, njia mbalimbali zinaweza kutumika. Inaweza kuchimbwa kutoka kwa huduma ya Subsystem ya Mamlaka ya Usalama wa Mitaa (LSASS) au faili ya NT Directory Services (NTDS.dit) iliyoko kwenye Kudhibiti Mfumo wa Kikoa (DC) yoyote ndani ya kikoa. Zaidi ya hayo, kutekeleza shambulio la DCsync ni mkakati mwingine wa kupata hash hii ya NTLM, ambayo inaweza kufanywa kwa kutumia zana kama moduli ya lsadump::dcsync katika Mimikatz au script ya secretsdump.py ya Impacket. Ni muhimu kusisitiza kuwa kutekeleza shughuli hizi, kwa kawaida inahitajika kuwa na mamlaka ya msimamizi wa kikoa au kiwango sawa cha ufikiaji.
Ingawa hash ya NTLM inatumika kama njia inayofaa kwa kusudi hili, ni inapendekezwa sana kuwa tiketi zinazoundwa zitumie funguo za Kerberos za Advanced Encryption Standard (AES) (AES128 na AES256) kwa sababu za usalama wa uendeshaji.
Baada ya kuwa na Tiketi ya Dhahabu iliyowekwa, unaweza kupata ufikiaji wa faili zilizoshirikiwa (C$), na kutekeleza huduma na WMI, hivyo unaweza kutumia psexec au wmiexec kupata kifaa cha kudhibiti (inavyoonekana huwezi kupata kifaa cha kudhibiti kupitia winrm).
Kuepuka kugunduliwa kwa kawaida
Njia za kawaida za kugundua tiketi ya dhahabu ni kwa kuchunguza trafiki ya Kerberos kwenye mtandao. Kwa chaguo-msingi, Mimikatz inasaini TGT kwa miaka 10, ambayo itaonekana kama isiyo ya kawaida katika maombi ya TGS yaliyofanywa baadaye nayo.
Muda wa Maisha: 3/11/2021 12:39:57 PM; 3/9/2031 12:39:57 PM; 3/9/2031 12:39:57 PM
Tumia vigezo vya /startoffset
, /endin
, na /renewmax
ili kudhibiti kuanza kwa kuchelewa, muda wa kudumu, na idadi kubwa ya kurejesha (yote kwa dakika).
Kwa bahati mbaya, muda wa TGT haurekodiwa katika 4769, kwa hivyo hutapata habari hii katika magogo ya matukio ya Windows. Walakini, unaweza kuhusisha kuona 4769 bila 4768 ya awali. Haiwezekani kuomba TGS bila TGT, na ikiwa hakuna rekodi ya TGT iliyotolewa, tunaweza kudhani kuwa ilifanywa nje ya mtandao.
Ili kuepuka ukaguzi huu, angalia tiketi za almasi:
pageDiamond TicketKupunguza Athari
4624: Ingia kwenye Akaunti
4672: Ingia kama Msimamizi
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Mbinu ndogo nyingine ambazo walinzi wanaweza kufanya ni kutoa tahadhari kwa 4769 kwa watumiaji wenye nyadhifa nyeti kama akaunti ya msimamizi wa kikoa ya chaguo-msingi.
Marejeo
[https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets] (https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets)
Last updated