7.6 - תקיפת Over-pass-the-hash - הרצאה
תקיפת Kerberos Ticket Manipulation – Over-Pass-the-Hash ו-Pass-the-Ticket¶
התקפת Kerberos Ticket Manipulation היא טכניקת Privilege Escalation מתקדמת המתמקדת בexploit פרוטוקול האימות Kerberos, פרוטוקול המשמש באותן סביבות כמו Active Directory כדי לאמת משתמשים ושירותים ברשתות Windows. התקפות אלו ממנפות את המנגנונים של Kerberos TGT (Ticket Granting Ticket) ו-Service Tickets על מנת לבצע Pass-the-Ticket ו-Over-Pass-the-Hash, שתי טכניקות שמאפשרות לתוקף לקבל גישה למשאבים ברשת מבלי להידרש לסיסמה.
במהלך ההרצאה הזו, נסקור את התקפות Over-Pass-the-Hash ו-Pass-the-Ticket, כיצד הן מתבצעות, ואילו כלים קיימים כדי לבצע אותן. נבחן גם איך להתגונן מפני התקפות כאלה.
Pass-the-Ticket (PTT)¶
טכניקת Pass-the-Ticket היא טכניקת תקיפה בה התוקף גונב או מייצר ticket Kerberos תקף של משתמש אחר ומשתמש בו כדי לגשת לשירותים ברשת, בלי הצורך לספק את הסיסמה של אותו משתמש.
כיצד מתבצעת התקפת Pass-the-Ticket?¶
-
גניבת ticket Kerberos: באמצעות כלים כמו Mimikatz, ניתן לחלץ tickets Kerberos של משתמשים שמחוברים לרשת. במקרים כאלה, הtickets יכולים להימצא בזיכרון ה-LSASS של המחשב.
-
שימוש בticket הגנוב: לאחר מכן, התוקף יכול לקחת את ticket ה-TGT או Service Ticket ולשלוח אותו למערכת המטרה על מנת לגשת לשירותים. התוקף לא צריך לדעת את הסיסמה של המשתמש, כל מה שהוא צריך הוא ticket Kerberos תקף.
פקודות לדוגמה עם Mimikatz¶
- לחלץ את ticket ה-Kerberos מ-LSASS:
- להשתמש בticket הגנוב כדי להתחבר לשירות: התוקף יכול להשתמש ב-Pass-the-Ticket כלים כמו Rubeus או Mimikatz כדי לשלוח את ticket ה-TGT כדי להשיג גישה לשירותים.
Over-Pass-the-Hash (Pass-the-Hash עם Kerberos)¶
טכניקת Over-Pass-the-Hash הוא מנגנון תקיפה בו התוקף מצליח לייצר ticket Kerberos תקף מבלי לדעת את הסיסמה של המשתמש, על ידי שימוש ב-NTLM Hash של הסיסמה.
כיצד מתבצעת התקפת Over-Pass-the-Hash?¶
-
השגת NTLM Hash: התוקף מחלץ את ה-NTLM Hash של סיסמת משתמש באמצעות כלים כמו Mimikatz או secretsdump.py. ה-NTLM Hash משמש כתחליף לסיסמה.
-
הפקת TGT באמצעות NTLM Hash: במקום להשתמש בסיסמה של המשתמש, התוקף משתמש ב-NTLM Hash כדי לבקש ticket TGT משרת ה-Kerberos. בעזרת כלים כמו Mimikatz, התוקף יכול לשלוח בקשה לקבלת ticket Kerberos.
-
השגת גישה למשאבים: לאחר שה-TGT הושג, התוקף יכול להשתמש בticket זה לצורך גישה לשירותים ברשת בדיוק כמו בהתקפת Pass-the-Ticket.
פקודות לדוגמה עם Mimikatz ו-NTLM Hash¶
- חילוץ NTLM Hash עם Mimikatz:
- הפקת TGT באמצעות NTLM Hash: