Tickets Kerberos

Heute werden wir über eine der verschiedenen Techniken sprechen, die wir normalerweise bei internen Pentests anwenden

Sobald es einem Angreifer gelingt, eine Domäne zu kompromittieren, nachdem er hohe Berechtigungen wie Domänenadministrator oder Unternehmensadministrator erlangt hat, ist es für ein Unternehmen sehr schwierig, die volle Kontrolle über die Gesamtstruktur zurückzugewinnen und sie als 100 % sauber zu betrachten.

Angreifer mit diesem Zugriff können ihre hohen Privilegien nutzen, um spezielle Anmeldeinformationen aus der Domäne zu extrahieren und diese zu nutzen, um Persistenz zu erlangen und jederzeit als beliebiger Benutzer wieder Zugriff zu erhalten. Diese Anmeldeinformationen werden selten oder nie geändert, sodass Angreifer praktisch unbegrenzten Zugriff haben.

In verschiedenen Veröffentlichungen werden wir einige dieser Persistenztechniken sehen, die auf der Verwendung von Kerberos-Tickets basieren.

GOLDENES TICKET

Bei einem Golden-Ticket-Angriff wird ein legitimes Ticket Granting Ticket (TGT) erstellt, das sich mithilfe des NTLM-Hashs des Active Directory-Kontos KRBTGT als beliebiger Benutzer ausgibt. Diese Technik ist besonders leistungsstark, da sie als imitierter Benutzer Zugriff auf jeden Dienst oder Computer innerhalb der Domäne ermöglicht. Denken Sie unbedingt daran, dass die Anmeldeinformationen für das KRBTGT-Konto niemals automatisch aktualisiert werden.

Um den NTLM-Hash des KRBTGT-Kontos zu erhalten, können verschiedene Methoden verwendet werden:

• Es kann aus dem Speicher extrahiert werden, indem der LSASS-Prozess (Local Security Authority Subsystem Service) eines Domänencontrollers ausgegeben wird.

• Es kann auch aus der NT-Verzeichnisdienstdatei (NTDS.dit) extrahiert werden, die sich auf einem beliebigen Domänencontroller befindet.

• Oder es kann nach der Ausführung eines DCsync-Angriffs abgerufen werden, was mit Tools wie Mimikatz oder dem Skript „secretsdump.py“ von Impacket erfolgen kann.

Es ist wichtig zu erwähnen, dass zum Ausführen dieser Vorgänge normalerweise Domänenadministratorrechte oder eine ähnliche Zugriffsebene (Authentifizierung/System) erforderlich sind. Aus diesem Grund werden Golden Tickets verwendet, um seitliche Bewegungen im Rest der Domäne durchzuführen und um Persistenz herzustellen, und nicht für die Eskalation von Privilegien.

Obwohl NTLM-Hashing für diesen Zweck eine praktikable Methode ist, wird wie im Fall von Silver Ticket empfohlen, diesen Angriff aus Gründen der Betriebssicherheit und zur geringeren Erkennungsfähigkeit mit Kerberos-AES-Schlüsseln (Advanced Encryption Standard) auszuführen.

Auswirkungen

Ein Golden Ticket ermöglicht unbegrenzten und dauerhaften Zugriff auf jede Ressource innerhalb der Domäne, bis der KRBTGT-Schlüssel geändert wird, was ein komplexer und störender Prozess sein kann.

Ausbeutung

Für dieses Szenario gehen wir von einer kompromittierten Domäne aus, in der wir über Domänenadministrator-Anmeldeinformationen verfügen und es uns gelungen ist, die DCSync-Technik durchzuführen und so die Kerberos-Schlüssel des KRBTGT-Kontos zu erhalten.

Ticketerstellung

Um das Golden Ticket zu erstellen, können wir das Rubeus-Tool verwenden und den folgenden Befehl ausführen:

Rubeus.exe golden /aes256: 42a38fe97bcf9c48190e5d77e48faa7d95b7fed838c8910845a86d66d78f188a /user:Eddard.stark /domain:north.sevenkingdoms.local /sid:S-1-5-21-1430251130- 2586379517-4083755373 /nowrap