通过金票攻击完成域名入侵

本博文系列介绍了攻击者可用来查找和危害 Active Directory 服务帐户的技术。首先，我们详细介绍了他们如何通过 LDAP 侦察来发现服务帐户；然后我们揭示了他们如何使用 Kerberoasting 提取帐户密码；然后我们解释了如何使用银票提升帐户的权限以实现额外的访问和活动。

在最后一篇文章中，我们将探讨任何 Active Directory 环境中最强大的服务帐户：KRBTGT 帐户，该帐户用于颁发访问 IT 系统和数据所需的 Kerberos 票证。通过从密钥分发中心 (KDC) 获取此帐户的密码哈希，攻击者能够危害 Active Directory 中的每个帐户，从而使他们能够无限制且几乎无法检测地访问连接到 AD 网络的任何系统。

AD 中的 KRBTGT 帐户是什么？

Windows Active Directory 域控制器负责处理 Kerberos 票证请求，这些请求用于对用户进行身份验证并授予他们对计算机和应用程序的访问权限。 KRBTGT 帐户的密码用于加密和解密 Kerberos 票证。该密码很少更改，并且每个域中的帐户名都是相同的，因此它是攻击者的常见目标。

创建金票

使用 Mimikatz，可以利用 KRBTGT 帐户的密码创建伪造的 Kerberos 票证授予票证 (TGT)，该票证可用于为域中任何计算机上的任何服务请求票证授予服务器 (TGS) 票证。

要创建 Kerberos 金票，攻击者需要以下信息：

• KRBTGT 账户密码哈希
• KRBTGT 帐户所属域的名称和 SID

让我们逐步了解如何收集这些信息并为 Kerberos 创建黄金票证。

步骤 1. 获取 KRBTGT 密码哈希、域名和 SID。

获取 KRBTGT 密码哈希是攻击中最困难的部分，因为它需要获得对域控制器的特权访问。一旦对手能够交互式或远程登录到 DC，他们就可以使用 Mimikatz 使用以下命令提取所需的信息：

privilege::debug
lsadump::lsa /inject /name:krbtgt

这将输出密码哈希，以及域名和 SID：

步骤 2. 创建金票。

现在黑客可以随意创建金票了。用于创建黄金门票的有用 Mimikatz 参数包括：

• 用户 - 将创建票证的用户帐户名称。请注意，这可以是有效的帐户名称，但并非必须如此。
• ID— 攻击者将冒充的帐户的 RID。这可以是真实的帐户 ID，例如默认管理员 ID 500，也可以是假 ID。
• 群组 - 票证中的帐户所属的群组列表。默认情况下包含域管理员，因此将以最大权限创建票证。
• SID—这会将 SID 插入到票证中帐户的 SIDHistory 属性中。这对于跨域身份验证很有用。

以下示例为假用户创建票证，但提供默认管理员 ID。稍后我们将看到使用此票证时这些值如何发挥作用。 /ptt （传递票证）触发器将正在创建的黄金票证注入到当前会话中。

步骤3. 传递门票。

现在是时候使用加载到当前会话中的黄金门票了。让我们使用 misc::cmd 命令在该票证的上下文中启动命令提示符。

您可以在命令提示符中看到攻击者作为没有域组成员身份的常规域用户进行操作，这意味着他们不具有任何其他域计算机的权限。

但是，由于 Kerberos 票证位于内存中，因此可以连接到域控制器并访问存储在那里的所有文件。

使用 PSExec，攻击者可以在目标域控制器上打开会话；根据该会话，他们现在以管理员身份登录。

系统认为攻击者是管理员，因为他们用来生成金票的 RID 为 500。 域控制器上的事件日志还显示，系统认为攻击者是管理员，但凭据是在金票攻击期间被欺骗的凭据。这对于想要逃避检测或创建欺骗性安全日志的攻击者特别有用。

防范金票攻击

Active Directory 黄金票据攻击很难检测，因为黄金票据看起来就像完全有效的 TGT。但是，在大多数情况下，它们创建的生命周期为 10 年或更长，这远远超过了 Active Directory 中票证持续时间的默认值。尽管 TGT 时间戳未记录在 Kerberos 身份验证日志中，但适当的 Active Directory 安全解决方案能够监视它们。如果您确实发现您的组织内正在使用黄金门票，则必须重置 KRBTGT 帐户两次；这样做可能会产生深远的影响，因此请谨慎行事。

针对金票最重要的保护是限制域控制器登录权限。域管理员以及向 DC 提供登录权限的其他组的成员（例如打印和服务器操作员）应该具有绝对最低数量。此外，应使用分层登录协议来防止域管理员登录到服务器和工作站，在这些服务器和工作站上，其密码哈希值可以从内存中转储并用于访问 DC 以提取 KRBTGT 帐户哈希值。