「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

Credential Request

• 使用者向 AD 請求憑證
  • ticket
  • token

竊取或偽造 Kerberos Tickets

• ATT&CK ID: T1558
  • T1558.001 Golden Ticket
  • T1558.002 Silver Ticket
  • T1558.003 Kerberoasting
  • T1558.004 AS-REP Roasting
• 說明
  • 竊取或偽造 Kerberos Tickets
  • 以 Pass the Ticket 繞過 Kerberos 身份驗證
  • SSSD 系統安全服務守護執行緒
    • 維護 Ticket 的複製檔案(副本)
      • /var/lib/sss/secrets/secrets.ldb
      • /var/lib/sss/secrets/.secrets.mkey
• 防禦
  • AD 重新設定兩次 Krbtgt，可防範 golden
  • 開啟 AES Kerberos 加密演算法，不使用 RC4
• 監控
  • 監控 lsass.exe 的執行緒
    • 監視 secrets.ldb
    • 監視 .secrets.mkey
    • 異常執行緒 /var/lib/sss/secrets/
  • 針對以下確認是否有格式錯誤與空白字串
    • eventID 4624 帳戶已成功登入
    • eventID 4672 指派至新登入的特殊許可權
    • eventID 4634 帳戶已登出
  • 是否請求 TGT 以 RC4 加密
    • eventID 4768 要求使用 Kerberos (TGT) 票證
      • 票證加密類型 0x17 RC4-HMAC
    • eventID 4769 已要求 Kerberos 服務票證
      • 票證加密類型 0x17 RC4-HMAC
      • 結果代碼
        • 0x1F 解密欄位的完整性檢查失敗
          • KDC 無法解密 TGT

使用其他繞過身分驗證的技巧

• ATT&CK ID: T1550
  • T1550.001 Application Access Token
  • T1550.002 Pass the Hash
  • T1550.003 Pass the Ticket
  • T1550.004 Web Session Cookie
• 收集
  • 密碼 hash
  • Kerberos tickets
  • Access tokens
• 目的
  • 橫向移動到其他系統並取得權限
• 駭客案例
  • APT 29 使用 偽造的 SAML token 允許惡意攻擊者偽造使用者繞過 MFA 並存取企業雲的應用程式與服務
• 防禦
  • 不要跨系統使用相同密碼
  • 最小權限原則
• 監控
  • eventID
    • 4768
    • 4769
  • 應用程式 log 紀錄
  • 一個帳號登入多個系統
  • 非上班時間進行登入

參考資料

• https://attack.mitre.org/techniques/T1558/
• https://attack.mitre.org/techniques/T1550/