לדלג לתוכן

7.6 תקיפת Over pass the hash הרצאה

תקיפת Kerberos Ticket Manipulation – Over-Pass-the-Hash ו-Pass-the-Ticket

התקפת Kerberos Ticket Manipulation היא טכניקת Privilege Escalation מתקדמת המתמקדת בניצול פרוטוקול האימות Kerberos, פרוטוקול המשמש באותן סביבות כמו Active Directory כדי לאמת משתמשים ושירותים ברשתות Windows. התקפות אלו ממנפות את המנגנונים של Kerberos TGT (Ticket Granting Ticket) ו-Service Tickets על מנת לבצע Pass-the-Ticket ו-Over-Pass-the-Hash, שתי טכניקות שמאפשרות לתוקף לקבל גישה למשאבים ברשת מבלי להידרש לסיסמה.

במהלך ההרצאה הזו, נסקור את התקפות Over-Pass-the-Hash ו-Pass-the-Ticket, כיצד הן מתבצעות, ואילו כלים קיימים כדי לבצע אותן. נבחן גם איך להתגונן מפני התקפות כאלה.

Pass-the-Ticket (PTT)

טכניקת Pass-the-Ticket היא טכניקת תקיפה בה התוקף גונב או מייצר כרטיס Kerberos תקף של משתמש אחר ומשתמש בו כדי לגשת לשירותים ברשת, בלי הצורך לספק את הסיסמה של אותו משתמש.

כיצד מתבצעת התקפת Pass-the-Ticket?

  1. גניבת כרטיס Kerberos: באמצעות כלים כמו Mimikatz, ניתן לחלץ כרטיסי Kerberos של משתמשים שמחוברים לרשת. במקרים כאלה, הכרטיסים יכולים להימצא בזיכרון ה-LSASS של המחשב.

  2. שימוש בכרטיס הגנוב: לאחר מכן, התוקף יכול לקחת את כרטיס ה-TGT או Service Ticket ולשלוח אותו למערכת המטרה על מנת לגשת לשירותים. התוקף לא צריך לדעת את הסיסמה של המשתמש, כל מה שהוא צריך הוא כרטיס Kerberos תקף.

פקודות לדוגמה עם Mimikatz
  1. לחלץ את כרטיס ה-Kerberos מ-LSASS:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
  1. להשתמש בכרטיס הגנוב כדי להתחבר לשירות: התוקף יכול להשתמש ב-Pass-the-Ticket כלים כמו Rubeus או Mimikatz כדי לשלוח את כרטיס ה-TGT כדי להשיג גישה לשירותים.
Rubeus tgtdeleg /user:<username> /rc4:<Ticket> /domain:<domain> /sid:<SID>

Over-Pass-the-Hash (Pass-the-Hash עם Kerberos)

טכניקת Over-Pass-the-Hash הוא מנגנון תקיפה בו התוקף מצליח לייצר כרטיס Kerberos תקף מבלי לדעת את הסיסמה של המשתמש, על ידי שימוש ב-NTLM Hash של הסיסמה.

כיצד מתבצעת התקפת Over-Pass-the-Hash?

  1. השגת NTLM Hash: התוקף מחלץ את ה-NTLM Hash של סיסמת משתמש באמצעות כלים כמו Mimikatz או secretsdump.py. ה-NTLM Hash משמש כתחליף לסיסמה.

  2. הפקת TGT באמצעות NTLM Hash: במקום להשתמש בסיסמה של המשתמש, התוקף משתמש ב-NTLM Hash כדי לבקש כרטיס TGT משרת ה-Kerberos. בעזרת כלים כמו Mimikatz, התוקף יכול לשלוח בקשה לקבלת כרטיס Kerberos.

  3. השגת גישה למשאבים: לאחר שה-TGT הושג, התוקף יכול להשתמש בכרטיס זה לצורך גישה לשירותים ברשת בדיוק כמו בהתקפת Pass-the-Ticket.

פקודות לדוגמה עם Mimikatz ו-NTLM Hash
  1. חילוץ NTLM Hash עם Mimikatz:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
  1. הפקת TGT באמצעות NTLM Hash:
mimikatz.exe "kerberos::ptt /user:<username> /rc4:<NTLM_hash>"