Tóm tắt

AS-REP Roasting Attack

AS-REP Roasting dump Kerberos hashes của user accounts mà có Kerberos pre-authentication disabled.

Pre-authentication là bước đầu tiên trong Kerberos authentication. Mã băm của mật khẩu người dùng sẽ được sử dụng để encrypt một timestamp và gửi tới DC để giải mã nhằm xác thực đúng người dùng với mã băm và không phát lại từ các request trước đó. Sau khi xác thực được timestamp thì KDC sẽ phát hành TGT cho user. Nếu tính năng này bị vô hiệu hóa, có thể request any authenticaton data cho any user và KDC sẽ trả về TGT được mã hóa có thể bị crack offline.

Tóm tắt quá trình tấn công:

1. Attacker enumerate AD user accounts không yêu cầu pre-authentication

2. Attacker requests TGT

3. AD phản hồi với TGT

4. Attacker sử dụng tool để trích xuất hash từ gói tin thu được

PHÁT HIỆN:

Sử dụng Filter Curent Log để tìm Event ID 4768.

4768(S, F): A Kerberos authentication ticket (TGT) was requested.

Tìm bản ghi có Pre-Authentication Type là 0

Kerberoasting Attacks

Kerberoasting cho phép kẻ tấn công request một service ticket cho any service có SPN đã được đăng ký và sử dụng ticket để crack service password. Điều này có thể thực hiện với đặc quyền chỉ cần là domain user.

Kẻ tấn công thưc hiện kiểu tấn công này nhằm hy vọng leo thang đặc quyền với những service account được cấp những đặc quyền không cần thiết.

PHÁT HIÊN: 4769(S, F): A Kerberos service ticket was requested.

Tìm service name có Ticket Encryption Type = 0x17 và Pre-Authentication Type là “0”

LDAP Enumerations (Bloodhound_Sharphound)

LDAP (Lightweight Directory Access Protocol) là một giao thực cho truy cập và duy trì các dịch vụ thông tin thư mục phân tán qua mạng IP. LDAP là một phần quan trọng của Active Directory vì nó cung cấp giao thức cơ bản để truy cập và duy trì thông tin được lưu trữ trong thư mục. Với LDAP, Active Directory có thể được truy vấn và cập nhật theo cách chuẩn hóa, cho phép nhiều ứng dụng và dịch vụ khác nhau tương tác với thư mục. LDAP được Active Directory sử dụng để xác thực người dùng, thực thi chính sách bảo mật và quản lý quyền truy cập vào tài nguyên. Ví dụ: khi người dùng đăng nhập vào miền Windows, Active Directory sử dụng LDAP để xác minh thông tin đăng nhập của người dùng và xác định xem họ có đủ quyền cần thiết để truy cập vào các tài nguyên được yêu cầu hay không.

Với LDAP, kẻ tấn công liệt kê và thu thập nhiều thông tin về tên miền và nắm được tình hình thực tế. Chúng có thể lấy được tên tài khoản người dùng tên miền, tên máy tính và nhiều thông tin khác nữa.

PHÁT HIỆN: 4662(S, F): An operation was performed on an object.

NTDS Database Dumping

Ntds.dit (NT Directory Service Database) là database file in AD chứa tất cả thông tin về AD database bao gồm cấu hình của AD domains, users, groups, security prolicies, password hashed và other objects. Nó được chứa trong mỗi DC in AD forest va được sử dụng để authenticate users và manage access với resources. Tệp này được sử dụng trong Active Directory Domain Services (AD DS) để chứa và quản lý directory data. Database này là một thành phần quan trọng của AD và nên được back up thường.

Mặc định Ntds.dit nằm tại "%SystemRoot%\NTDS\Ntds.dit" của DC.

Nếu kẻ tấn công chiếm được CSDL này, chúng có thể khôi phục mật khẩu dạng rõ (thực hiện điều này cũng yêu cầu SYSTEM registry hive) và theo lý thuyết, chúng sẽ chiếm được toàn bộ miền. Có nhiều công cụ có thể được sử dụng để dump cơ sở dữ liệu này, bao gồm tiện ích tích hợp sẵn trong Windows có tên là "ntdsutil". Tiện ích này được Windows sử dụng để sao lưu tệp cơ sở dữ liệu Ntds.dit thường xuyên và cũng có thể được sử dụng qua dòng lệnh.

PHÁT HIỆN: Filter cho event soucrces là “ESENT” và Event ID “325”.

Silver Ticket Attacks

Silver Ticket cho phép kẻ tấn công làm giả ticket-granting service ticket (TGS) ticket cho các dịch vụ cụ thể. Ticket TGS được mã hóa bằng hàm băm mật khẩu cho dịch vụ; do đó, nếu attacker đánh cắp hàm băm cho tài khoản dịch vụ, họ có thể đúc vé TGS cho dịch vụ đó. Mặc dù phạm vi của cuộc tấn công Silver Ticket có thể nhỏ hơn, nhưng nó vẫn là một công cụ mạnh mẽ, cho phép truy cập liên tục và bí mật vào các tài nguyên. Vì chỉ yêu cầu hàm băm mật khẩu của service account, nên nó cũng dễ thực hiện hơn đáng kể so với cuộc tấn công Golden Ticket. Các kỹ thuật như thu thập hàm băm từ LSASS.exe và Kerberoasting là những cách phổ biến mà đối thủ lấy được hàm băm mật khẩu tài khoản dịch vụ.

Golden Ticket Attacks

Golden Ticket là kiểu tấn công mà attacker cho một tài khoản người dùng có đặc quyền như domain admin hoặc krgtgt service. TGT này có thể được dùng để request Service Ticket (ST) cho any service trên mạng, cho phép kẻ tấn công mạo danh bất kỳ người dùng nào trên mạng, bao gồm cả người dùng có đặc quyền như administrator.

Các cuộc tấn công Golden Ticket có thể khó phát hiện vì chúng thường liên quan đến thông tin xác thực hợp lệ và có vẻ là các sự kiện xác thực hợp lệ, bình thường. Để ngăn chặn các cuộc tấn công Golden Ticket, điều quan trọng là phải triển khai các chính sách mật khẩu mạnh, theo dõi hoạt động đáng ngờ trong nhật ký sự kiện và đảm bảo rằng tất cả các hệ thống đều được cập nhật các bản vá bảo mật mới nhất.

Có thể tìm source network address của cuộc tấn công sử dụng Event ID 4769

Tìm account name để inject golden ticket vào memory sử dụng Event ID 4624 ngay sau sự kiện trên

NTLM Relay Attacks

NTLM replay là kiểu tấn công lợi dụng điểm yếu trong giao thức xác thực NTLM (Không xác thực danh tính xác thực của máy chuyển tiếp). Nó hoạt động bằng cách replay authentication request từ một máy tới máy khác, về cơ bản là bỏ qua yêu cầu xác thực. Kẻ tấn công hoạt đọng như một relay giữa client và target system, chuyển tiếp authentication request và thu lại response. Sau đó chúng sử dụng response để mạo danh client gốc và truy cập vào hệ thông hoặc target resource.

Yêu cầu: SMB signing disabled (Mặc định trên Windows). Có thể tìm ra điều này trên endpoint sử dụng tools nhưu Nmap, Nessus,...