Golden Ticket
Altın bilet
Bir Altın Bilet saldırısı, herhangi bir kullanıcıyı taklit eden meşru bir Bilet Verme Bileti (TGT) oluşturma işlemidir ve bunun için Active Directory (AD) krbtgt hesabının NTLM karmasının kullanılması gerekmektedir. Bu teknik, taklit edilen kullanıcı olarak alan içindeki herhangi bir hizmete veya makineye erişimi mümkün kılar ve bu nedenle oldukça avantajlıdır. krbtgt hesabının kimlik bilgileri otomatik olarak güncellenmez.
krbtgt hesabının NTLM karmasını edinmek için çeşitli yöntemler kullanılabilir. Bu, Etki Alanı Denetleyicisi (DC) içindeki herhangi bir Domain Controller (DC)'de bulunan Local Security Authority Subsystem Service (LSASS) sürecinden veya NT Directory Services (NTDS.dit) dosyasından çıkarılabilir. Ayrıca, bu NTLM karmasını elde etmek için DCsync saldırısı gerçekleştirmek de başka bir stratejidir ve bunun için Mimikatz'deki lsadump::dcsync modülü veya Impacket'teki secretsdump.py betiği gibi araçlar kullanılabilir. Bu işlemleri gerçekleştirmek için genellikle etki alanı yönetici ayrıcalıkları veya benzer bir erişim düzeyi gereklidir.
NTLM karması bu amaç için uygun bir yöntem olsa da, işletme güvenliği nedenleriyle Gelişmiş Şifreleme Standardı (AES) Kerberos anahtarları (AES128 ve AES256) kullanarak biletlerin sahteciliği yapılması şiddetle önerilir.
Altın bileti enjekte ettiğinizde, paylaşılan dosyalara (C$) erişebilir ve hizmetleri ve WMI'ı çalıştırabilirsiniz, bu nedenle bir kabuk elde etmek için psexec veya wmiexec kullanabilirsiniz (winrm üzerinden kabuk alamazsınız gibi görünüyor).
Sık kullanılan tespitleri atlatma
Altın bileti tespit etmenin en yaygın yolları, Kerberos trafiğini incelemektir. Varsayılan olarak, Mimikatz, TGT'yi 10 yıl için imzalar, bu da onunla yapılan sonraki TGS isteklerinde anormal olarak öne çıkar.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Başlangıç ofsetini, süreyi ve maksimum yenilemeleri (hepsi dakika cinsinden) kontrol etmek için /startoffset
, /endin
ve /renewmax
parametrelerini kullanın.
Maalesef, TGT'nin ömrü 4769'da kaydedilmez, bu yüzden bu bilgiyi Windows olay günlüklerinde bulamazsınız. Bununla birlikte, bir önceki 4768 olmadan 4769 görmeniz mümkündür. Bir TGS talep etmek TGT olmadan mümkün değildir ve bir TGT'nin verildiğine dair bir kayıt olmadığı durumda, bunun çevrimdışı olarak sahte olduğunu çıkarabiliriz.
Bu tespiti atlamak için elmas biletleri kontrol edin:
pageDiamond TicketHafifletme
4624: Hesap Oturumu
4672: Yönetici Oturumu
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Savunucuların yapabileceği diğer küçük hileler, varsayılan etki alanı yönetici hesabı gibi duyarlı kullanıcılar için 4769'a alarm vermek.
Referanslar
[https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets] (https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets)
Last updated