Kerberoast
Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen otomatik iş akışları oluşturun ve otomatikleştirin. Bugün Erişim Alın:
Kerberoast
Kerberoast, özellikle Active Directory (AD) altında kullanıcı hesapları ile çalışan hizmetlere ait TGS biletlerinin elde edilmesine odaklanır, bilgisayar hesaplarını hariç tutar. Bu biletlerin şifrelemesi, kullanıcı şifrelerinden kaynaklanan anahtarlar kullanır ve çevrimdışı kimlik bilgilerinin kırılma olasılığı sağlar. Bir hizmetin bir kullanıcı hesabı olarak kullanılması, boş olmayan bir "ServicePrincipalName" özelliği ile belirtilir.
Kerberoast'i yürütmek için TGS biletleri isteyebilen bir etki alanı hesabı gereklidir; ancak, bu işlem özel ayrıcalıklar gerektirmez, bu nedenle geçerli etki alanı kimlik bilgilerine sahip herkes tarafından erişilebilir.
Ana Noktalar:
Kerberoast, AD içindeki kullanıcı hesabı hizmetleri için TGS biletlerini hedefler.
Kullanıcı şifrelerinden gelen anahtarlarla şifrelenen biletler çevrimdışı kırılabilir.
Bir hizmet, boş olmayan bir ServicePrincipalName ile tanımlanır.
Sadece geçerli etki alanı kimlik bilgileri gereklidir, özel ayrıcalıklar gerekmez.
Saldırı
Kerberoast araçları genellikle saldırıyı gerçekleştirirken ve TGS-REQ isteklerini başlatırken RC4 şifrelemesi
istemektedir. Bu, RC4'ün diğer şifreleme algoritmaları olan AES-128 ve AES-256'dan daha zayıf olması ve Hashcat gibi araçlarla çevrimdışı kırılmasının daha kolay olması nedeniyledir.
RC4 (tip 23) hash'leri $krb5tgs$23$*
ile başlarken, AES-256 (tip 18) $krb5tgs$18$*
ile başlar.
Linux
Çok özellikli araçlar, kerberoast edilebilir kullanıcıların bir dökümünü içerir:
Windows
Kerberoast edilebilir kullanıcıları listeleyin
Teknik 1: TGS iste ve bellekten dök
Teknik 2: Otomatik araçlar
Bir TGS istendiğinde, Windows etkinliği 4769 - Bir Kerberos hizmet bileti istendi
oluşturulur.
Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen otomatik iş akışları oluşturun ve kolayca çalıştırın. Bugün Erişim Edinin:
Kırılma
Kalıcılık
Eğer bir kullanıcı üzerinde yeterli izinlere sahipseniz, onu kerberoastable hale getirebilirsiniz:
Kerberoast saldırıları için yararlı araçları burada bulabilirsiniz: https://github.com/nidem/kerberoast
Eğer Linux'tan bu hata ile karşılaşırsanız: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
bu, yerel saatinizden kaynaklanır, ana bilgisayarı DC ile senkronize etmeniz gerekir. Birkaç seçenek bulunmaktadır:
ntpdate <DC'nin IP'si>
- Ubuntu 16.04'ten itibaren kullanım dışırdate -n <DC'nin IP'si>
Hafifletme
Kerberoasting, sömürülebilirse yüksek derecede gizlilikle gerçekleştirilebilir. Bu faaliyeti tespit etmek için dikkat edilmesi gereken nokta, bir Kerberos bileti istendiğini belirten Güvenlik Olay Kimliği 4769'dur. Ancak, bu olayın sıklığı nedeniyle şüpheli faaliyetleri izole etmek için belirli filtreler uygulanmalıdır:
Hizmet adı krbtgt olmamalıdır, çünkü bu normal bir istektir.
$ ile biten hizmet adları, servisler için kullanılan makine hesaplarını içermemek için hariç tutulmalıdır.
Makinelerden gelen istekler, makine@domain biçimindeki hesap adlarını hariç tutarak filtrelenmelidir.
Yalnızca başarılı bilet istekleri dikkate alınmalıdır, '0x0' hata kodu ile belirlenenler.
En önemlisi, bilet şifreleme türü 0x17 olmalıdır, bu genellikle Kerberoast saldırılarında kullanılır.
Kerberoasting risklerini azaltmak için şunları yapabilirsiniz:
Hizmet Hesabı Şifrelerinin tahmin edilmesi zor olacak şekilde yapılmasını sağlayın, en az 25 karakter uzunluğunu önerin.
Yönetilen Hizmet Hesapları kullanın, otomatik şifre değişiklikleri ve yetkilendirilmiş Hizmet Başlığı Adı (SPN) Yönetimi gibi faydalar sunarak bu tür saldırılara karşı güvenliği artırın.
Bu önlemleri uygulayarak, kuruluşlar Kerberoasting ile ilişkilendirilen riski önemli ölçüde azaltabilirler.
Alan hesabı olmadan Kerberoast
Eylül 2022'de, araştırmacı Charlie Clark adlı bir kişi tarafından bir sistem üzerinde istismar etmek için yeni bir yol exploit.ph platformu aracılığıyla paylaşıldı. Bu yöntem, herhangi bir Active Directory hesabı üzerinde kontrol gerektirmeyen KRB_AS_REQ isteği aracılığıyla Hizmet Biletleri (ST) elde etmeyi sağlar. Temelde, bir pre-authentication gerektirmeyen bir şekilde bir prensip kurulmuşsa - siber güvenlik alanında bilinen bir senaryo olan AS-REP Roasting saldırısı ile benzer bir senaryo - bu özellik isteğin işlenmesini manipüle etmek için kullanılabilir. Özellikle, isteğin gövdesindeki sname özniteliğini değiştirerek, sistem standart şifrelenmiş Bilet Verme Bileti (TGT) yerine bir ST çıkarmaya aldanır.
Teknik ayrıntılar bu makalede tam olarak açıklanmıştır: Semperis blog yazısı.
Bu teknikle LDAP sorgulamak için geçerli bir hesabımız olmadığından, bir kullanıcı listesi sağlamanız gerekmektedir.
Linux
Windows
Referanslar
Trickest kullanarak dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:
Last updated