Sin embargo, existen herramientas de monitoreo avanzado que podr\u00edan detectar posibles ataques de PTH, tanto a nivel de dominio como nivel local. (Ya que la autenticaci\u00f3n en PTH es usando administradores locales, los logs de acceso no son registrados en un controlador de dominio, se quedan en el equipo, por lo que un equipo de Blue Team tendr\u00eda que analizar los logs locales de los equipos internos, o implementar un SIEM para obtener toda esta informaci\u00f3n que no esta siendo almacenada en los controladores de dominio)<\/p>\n\n\n\n
Existen numerosos art\u00edculos de como detectar PTH o indicios que se pueden observar en los logs de acceso de los equipos respectivos que dan a entender que se esta realizando este ataque.<\/p>\n\n\n\n
Por este motivo, se presenta en este post una t\u00e9cnica un poco mas sigilosa que PTH, denominada Pass the ticket.<\/p>\n\n\n\n
El flujo de autenticaci\u00f3n por Kerberos es un poco complicado de explicar en pocas palabras (Aun no lo entiendo completamente como para escribir con confianza sobre eso), pero para este escenario, mantendremos las cosas simples.<\/p>\n\n\n\n
Cuando un usuario realiza autenticaci\u00f3n por Kerberos, como resultado, obtiene un Ticket, ya sea de servicio o un “ticket granting ticket (TGT)”, este ticket se podr\u00eda considerar como un documento de identidad, que puede ser utilizado en el dominio interno para acceder a ciertos recursos sin necesidad de autenticarse con usuario y contrase\u00f1a.<\/p>\n\n\n\n
Si un atacante llega a obtener control de uno de estos tickets, puede utilizarlos para personificar al usuario afectado y acceder a recursos internos del dominio como si fuera el due\u00f1o del ticket.<\/p>\n\n\n\n
Escenario 1 – Pass the ticket<\/h2>\n\n\n\n
Para armar el escenario en nuestro Active Directory de pruebas, lo \u00fanico que necesitamos hacer es iniciar sesi\u00f3n en alg\u00fan equipo con m\u00faltiples usuarios, en este caso, “TECNOLOGIA01”.<\/p>\n\n\n\n Para este post, accedi al mismo equipo con el usuario “Administrator<\/strong>“, para fines demostrativos.<\/p>\n\n\n\n Utilizaremos la suite de herramientas Impacket<\/strong> para la explotaci\u00f3n respectiva, incluyendo un script que automatiza la extracci\u00f3n de informaci\u00f3n.<\/p>\n\n\n\n Como se menciono en anteriores posts, la informaci\u00f3n de autenticaci\u00f3n de dominio se almacena en memoria, a trav\u00e9s del proceso LSASS.EXE<\/strong>, por lo que si dumpeamos la informaci\u00f3n del proceso, podemos observar datos de autenticaci\u00f3n de los usuarios en el equipo.<\/p>\n\n\n\n Para esta tarea, podemos utilizar m\u00faltiples m\u00e9todos:<\/p>\n\n\n\n La herramienta que personalmente utilizo es un script llamado autoProc.py<\/strong>.<\/p>\n\n\n\n Enlace: https:\/\/gist.github.com\/knavesec\/0bf192d600ee15f214560ad6280df556<\/p>\n\n\n\n Depende de Impacket para su ejecucion correcta.<\/p>\n\n\n\n Es necesario editar el script, para indicar la ruta correcta del binario procdump64.exe en tu equipo.<\/p>\n\n\n\n Como estoy utilizando kali linux, aloje el binario en “\/home\/jsec\/tools\/procdump64.exe”<\/p>\n\n\n\n Este script se autentica por wmiexec hacia el equipo, sube el binario, lo ejecuta, descarga el dump generado y elimina el binario respectivo, para luego procesarlo con pypykatz<\/strong> (Mimikatz escrito en Python, no con todas las funcionalidades, pero suficiente para extraer las credenciales y los tickets Kerberos).<\/p>\n\n\n\n Validando que el script funciona.<\/p>\n\n\n\n Como se vio en posts anteriores, conseguimos acceso administrativo en TECNOLOGIA01<\/strong> a trav\u00e9s del administrador local en ATENCION01<\/strong>, por lo que usaremos esa informaci\u00f3n para este escenario.<\/p>\n\n\n\n Si ejecutamos autoProc.py<\/strong> en ATENCION01<\/strong>, obtendremos las sesiones almacenadas en el equipo y sus tickets de kerberos respectivos.<\/p>\n\n\n\n Para tener un poco mas de orden, generaremos nuevos directorios para almacenar nuestros tickets.<\/p>\n\n\n\n Cuando generamos el dump por autoProc.py<\/strong>, obtenemos la informaci\u00f3n de credenciales en memoria, pero no los tickets respectivos, para extraer los tickets, utilizaremos pypykatz <\/strong>nuevamente.<\/p>\n\n\n\n Comando: pypykatz lsa minidump lsass.dmp -k RUTA-DE-EXTRACCION<\/strong><\/p>\n\n\n\n Ejecutamos el comando, obtendremos la informaci\u00f3n nuevamente, pero al final del resultado indicara que se guardaron los tickets kerberos en la ruta especificada, si listamos el directorio donde se almaceno en la prueba realizada obtenemos la lista de tickets.<\/p>\n\n\n\n Observamos m\u00faltiples tickets de servicio y TGTs, pero para dos usuarios, cosme.fulanito<\/strong> y ATENCION01$<\/strong> (Usuario del equipo que se uni\u00f3 al dominio).<\/p>\n\n\n\n Ahora podemos usar esos tickets para personificar a cualquiera de los usuarios respectivos, pero sabemos que los mismos no son privilegiados, por lo que se repite la acci\u00f3n respectiva en el equipo TECNOLOGIA01<\/strong>.<\/p>\n\n\n\n Se obtiene un error similar al de anteriores posts, donde el antivirus se encuentra en ejecuci\u00f3n y bloquea el acceso a LSASS.EXE<\/strong>, por lo que repasando un poco, deshabilitaremos el mismo.<\/p>\n\n\n\n El equipo cuenta con Windows Defender, por lo que se puede realizar la deshabilitaci\u00f3n desde la linea de comandos, ya sea desde una sesi\u00f3n interactiva, wmiexec, psexec o similares, el comando por Powershell es:<\/p>\n\n\n\n PS C:\\Windows\\System32> Set-MPPreference -disableRealTimeMonitoring $true<\/strong><\/p>\n\n\n\n Una ves ejecutado el comando, volvemos a ejecutar autoProc.py<\/strong><\/p>\n\n\n\n Esta ves si obtenemos los contenidos de memoria, por lo que se procede a extraer los tickets respectivos.<\/p>\n\n\n\n Listamos los tickets obtenidos.<\/p>\n\n\n\n Observamos que existen tickets de servicio y TGTs de dos usuarios adicionales, Service_BD<\/strong> y Administrator<\/strong>.<\/p>\n\n\n\n Ahora, podemos usar el ticket del usuario Administrator<\/strong> para personificarlo.<\/p>\n\n\n\n Realizamos una serie de pasos, ya que los tickets se encuentran en formato .kirbi<\/strong>, tenemos que convertirlos a formato .ccache<\/strong>, para que sean utilizables por Linux, luego exportamos los tickets como una variable de entorno y posteriormente los listamos.<\/p>\n\n\n\n Comandos:<\/p>\n\n\n\n Observamos que tenemos un ticket kerberos para el usuario Administrator<\/strong>, por lo que validaremos si el mismo es funcional.<\/p>\n\n\n\n Intentaremos obtener una sesi\u00f3n de comandos utilizando wmiexec<\/strong> en el controlador de dominio.<\/p>\n\n\n\n Comando: impacket-wmiexec -k -no-pass DOMINIO\/USUARIO@HOSTNAME -debug<\/p>\n\n\n\n El par\u00e1metro -k le indica a la herramienta que realice la autenticaci\u00f3n por Kerberos, usando el ticket que exportamos, -no-pass evita que la herramienta nos pida introducir la contrase\u00f1a del usuario, ya que la misma no es necesaria porque tenemos su ticket respectivo y -debug para observar los pasos que realiza y en caso de que falle, identificar la posible causa.<\/p>\n\n\n\n El ticket es funcional y obtenemos acceso al controlador de dominio como el usuario Administrator, sin necesidad de conocer su contrase\u00f1a o su hash NTLM.<\/p>\n\n\n\n Este es un vistazo rapido sobre el ataque Pass the ticket, que llega a ser un poco mas sigiloso.<\/p>\n\n\n\n En algunos casos, al dumpear LSASS<\/strong>, vi que por alguna raz\u00f3n, el hash de usuarios privilegiados no se encontraba en el proceso respectivo, si se identificaba que el usuario hab\u00eda accedido al equipo recientemente, pero su hash no estaba almacenado, por lo que esta t\u00e9cnica si me permiti\u00f3 obtener su ticket y personificarlo.<\/p>\n\n\n\n Aprovecharemos el hecho de que tenemos un ticket valido del usuario Administrator<\/strong> para personificarlo, un atacante siempre intentara obtener distintos m\u00e9todos de persistencia, uno de los mas conocidos es un Golden ticket, que de manera simplificada, es la creaci\u00f3n de un ticket de kerberos con privilegios de administraci\u00f3n del dominio, valido por 10 a\u00f1os que puede ser utilizado para tener persistencia total en la infraestructura.<\/p>\n\n\n\n Para forjar estos tickets, se necesita la siguiente informaci\u00f3n.<\/p>\n\n\n\n Para obtener esta informaci\u00f3n, utilizaremos el ticket obtenido previamente.<\/p>\n\n\n\n Utilizando impacket-secretsdump<\/strong> para obtener el hash del usuario KRBTGT<\/strong>.<\/p>\n\n\n\n Comando: impacket-secretsdump -k -no-pass DOMINIO\/USUARIO@HOSTNAME -just-dc-user krbtgt<\/p>\n\n\n\n El par\u00e1metro -just-dc-user <\/strong>indica a la herramienta que obtenga la informaci\u00f3n de un solo usuario, en lugar de dumpear todo el NTDS.dit<\/p>\n\n\n\n Obtenemos el hash NTLM del usuario KRBTGT<\/strong>: 7f9b6cfb……bf1<\/p>\n\n\n\n Para extraer el SID del dominio, podemos utilizar otra herramienta de impacket.<\/p>\n\n\n\n Comando: impacket-lookupsid DOMINIO\/USUARIO:PASS@CONTROLADOR-DE-DOMINIO<\/p>\n\n\n\n Para obtener esta informaci\u00f3n, no es necesario contar con un usuario administrador.<\/p>\n\n\n\n Obtenemos el Domain SID: S-1-5-21…..13415<\/p>\n\n\n\n Para el nombre completo del dominio, podemos utilizar un comando desde una sesi\u00f3n de Powershell, para simplificar las cosas, utilizaremos el ticket kerberos nuevamente.<\/p>\n\n\n\n Comando: Get-WmiObject Win32_ComputerSystem<\/p>\n\n\n\n Obtenemos el nombre del dominio completo: jsec.local<\/p>\n\n\n\n Con esta informaci\u00f3n, ya podemos forjar nuestro propio Golden Ticket utilizando Impacket.<\/p>\n\n\n\n impacket-ticketer -nthash HASH-KRBTGT -domain-sid SID -domain NOMBRE-COMPLETO-DOMINIO USUARIO<\/p>\n\n\n\n En este caso, creamos un ticket para personificar al usuario ‘DC01$’, que es el usuario del controlador de dominio, obteniendo su ticket en el fichero “DC01$.ccache<\/strong>“.<\/p>\n\n\n\n Exportamos el ticket con export KRB5CCNAME=’RUTA\/DC01$.ccache’ y lo utilizamos.<\/p>\n\n\n\n Obtenemos todos los hashes del dominio, confirmando que tenemos privilegios de Domain Admin.<\/p>\n\n\n\n De igual manera, el usuario al cual vamos a personificar no importa, ya que es un ticket valido de administraci\u00f3n de dominio, incluso podemos especificar un usuario que ni existe en el dominio respectivo e igual tener control administrativo.<\/p>\n\n\n\n Generamos un nuevo ticket con el usuario “goldenticket<\/strong>“, el cual no existe en el dominio interno, exportamos la variable de entorno y validamos el acceso, obteniendo de igual manera el acceso respectivo.<\/p>\n\n\n\n <\/p>\n\n\n\n Estos son algunos ataques conocidos de Kerberos, principalmente para movimiento lateral y persistencia, en posts futuros exploraremos ataques un poco mas complicados (Constrained delegation, Domain Admin to Enterprise Admin, etc.).<\/p>\n\n\n\n Espero que la informaci\u00f3n los ayude, saludos.<\/p>\n","protected":false},"excerpt":{"rendered":" En esta entrada, continuamos con algunos ataques conocidos sobre entornos de Active Directory utilizando Kerberos, principalmente movimiento lateral y persistencia. Una de las maneras mas conocidas y antiguas de movimiento lateral es Pass the hash, donde utilizamos el hash NTLM de un usuario para poder acceder a los recursos o Continue Reading<\/i><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-120","post","type-post","status-publish","format-standard","hentry","category-p-rt"],"_links":{"self":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/comments?post=120"}],"version-history":[{"count":2,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/120\/revisions"}],"predecessor-version":[{"id":143,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/120\/revisions\/143"}],"wp:attachment":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/media?parent=120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/categories?post=120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/tags?post=120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-19-1024x692.png\")
Explotaci\u00f3n<\/h2>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-20.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-21.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-22.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-23.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-24.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-25.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-26.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-27.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-28.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-29.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-30-1024x229.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-31.png\")
<\/figure>\n\n\n\nPERSISTENCIA – GOLDEN TICKET<\/h2>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-34.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-35.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-36.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-37-1024x238.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-38-1024x702.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/06\/image-39-1024x691.png\")
<\/figure>\n\n\n\n