Demo
Golden Ticket với mimikatz
Ủy quyền lấy dữ liệu tài khoản:
Quyền DCSync ngụ ý có nhứng quyền này trên chính miền đó: DS-Replication-Get-Changes, Replicating Directory Changes All và Replicating Directory Changes In Filtered Set.
Important Notes about DCSync:
Cuộc tấn công DCSync mô phỏng hành vi của Domain Controller và yêu cầu các Domain Controllers sao chép thông tin bằng Directory Replication Service Remote Protocol (MS-DRSR). Vì MS-DRSR là chức năng hợp lệ và cần thiết của Active Directory nên không thể tắt hoặc vô hiệu hóa chức năng này.
Mặc định chỉ có Domain Admins, Enterprise Admins, Administrators, và Domain Controllers groups có những đặc quyền này.
Nếu bất kỳ mật khẩu tài khoản nào được lưu trữ bằng mã hóa dễ dịch ngược, Mimikatz có tùy chọn trả về mật khẩu dưới dạng văn bản rõ
Có thể sử dụng tài khoản người dùng miền thông thường để chạy DCSync nhưng cần được ủy quyền các quyền sau đây ở cấp miền để truy xuất thành công dữ liệu mật khẩu với DCSync:
Replicating Directory Changes (DS-Replication-Get-Changes) Quyền mở rộng cần thiết để chỉ sao chép những thay đổi từ một NC nhất định cái mà cũng được sao chép sang Global Catalog (loại trừ dữ liệu miền bí mật). Ràng buộc này chỉ có ý nghĩa đối với Domain NCs.
Replicating Directory Changes All (DS-Replication-Get-Changes-All) Quyền truy cập kiểm soát cho phép sao cheps tất cả dữ liệu NC bản sao nhất định, bao gồm cả dữ liệu miền bí mất
Sap chép các thay đổi thư mục trong tập hợp đã lọc (hiếm, chỉ cần thiết trong một số môi trường nhất định).
Bước 1: Sử dụng DCSync để lấy được các giá trị băm cảu người dùng krbtgt
Nên sử dụng các giá trị băm aes256_hmac để tạo ticket để giảm bới sự bất thường của hoạt động
Lệnh ánh xạ ổ đĩa mạng pushd
Bước 2: Tạo Golden ticket
Sử dụng mimikatz kerberos::golden:
Các tham số kèm theo
/domain— FQDN của tên miền/sid— SID của miền/aes256— Băm mật khẩu AES-256 củaKRBTGTngười dùng (/ntlmhoặc/rc4có thể được sử dụng cho băm NTLM và/aes128cho AES-128)/user— Tên người dùng sẽ bị mạo danh/groups— Danh sách các nhóm (theo RID) cần đưa vào phiếu, nhóm đầu tiên là nhóm chính của người dùng/ptt— Chỉ ra rằng vé giả mạo nên được đưa vào phiên hiện tại thay vì được ghi vào tệp
Bước 3: Sử dụng vé giả mạo để có thể truy cập các tài nguyên tích hợp Kerberos
Detection DCSync
Xác định các địa chỉ của DC - các địa chỉ được phép Replicaton Directory Changes
Sử dụng các công cụ giám sát lưu lương để phát hiện các gói tin yêu cầu DsGetNCChanges bất thường từ các địa chỉ không nằm trong các địa chỉ đã liệt kê trên
Mitigation DCSync
Security Event ID 4662 (Audit Policy for object must be enabled) – An operation was performed on an object
Security Event ID 5136 (Audit Policy for object must be enabled) – A directory service object was modified
Security Event ID 4670 (Audit Policy for object must be enabled) – Permissions on an object were changed
AD ACL Scanner - Create and compare create reports of ACLs. https://github.com/canix1/ADACLScanner
Event ID’s to Correlate
Event ID
Description
What soc analyst to think
4672
Special Privilege Assigned
Analyst nên áp dụng logic bộ lọc trên SIEM và đi sâu vào tìm tài khoản đáng sử dụng special Privilege
4674
An operation was attempted on a privileged object
Kiểm tra các lệnh hoặc bộ xử lý cụ thể đang được thực thi bằng tài khoản người dùng, đồng thời kiểm tra tên máy trên EDR. Có khả năng cao kẻ tấn công gửi các tập lệnh hợp pháp như (ipconfig,... ) để hiển thị chúng là hoạt động kinh doanh hợp pháp. Không ngừng nghi nhờ và đánh dâu các sự kiện là false-posittive
4688
A new process is created
Các chương trình, lệnh hợp pháp đáng ngờ đang được chạy vào lúc này.
4768
A Kerberos authentication Ticket Requested ( TGT )
Thiếu event này có thể cho thấy Golden Ticket đang được sử dụng.
4769
A Kerberos service Ticket
Check ticket encryption type và description về type đó
5140
A network share Object was accessed
File sharing service is accessed
References
Last updated