使用 Kerberoasting 提取服务帐户密码

在我们的 LDAP 侦察帖子中，我们探讨了攻击者如何执行侦察以发现 Windows Active Directory (AD) 域中的目标服务帐户。现在让我们探讨攻击者可以用来危害这些帐户并利用其特权的一种方法：Kerberoasting。这种技术特别可怕，因为它不需要域中的管理员权限，非常容易执行并且几乎无法检测到。

Kerberoasting：概述

Kerberoasting 是一种滥用 Kerberos 协议功能来获取 Active Directory 用户帐户的密码哈希值的攻击：任何经过身份验证的域用户都可以通过指定其服务主体名称 (SPN) 和票证授予服务 (TGS) 来请求帐户的服务票证）在域控制器上将返回一个使用帐户密码的 NTLM 哈希加密的票证。

因此，一旦攻击者使用 LDAP 侦察等策略发现服务帐户 SPN，他们就可以收集所有这些帐户的票证。通过使这些数据离线，他们可以执行强力攻击来破解每个服务帐户的明文密码 - 检测或帐户锁定的风险为零。

攻击者只需几分钟即可获得域名访问权限、收集票据并开始破解过程。从那里开始，这只是一场等待游戏，直到他们破坏了一个或多个服务帐户，他们可以使用这些帐户来窃取或加密敏感数据或造成其他损害。

攻击者出于多种原因关注服务帐户。首先，这些帐户通常比其他 AD 用户帐户拥有更广泛的权限，因此攻击它们可以让攻击者获得更多访问权限。此外，服务帐户密码很少更改，因此攻击者可能会长期保留访问权限。要了解可以使用 Kerberoasting 获得的访问类型，请查看 Sean Metcalf 维护的 Active Directory SPN 列表。

Kerberoasting：它是如何工作的

步骤1.获取服务帐号的SPN。

。获取这些 SPN 的方法有很多，包括：

• PowerShell 查询和 LDAP 侦察
• PowerShell 的 Active Directory 模块
• Kerberoast 工具包中的 GetUserSPNs 脚本
• PowerSploit 的 Get-NetUser 命令

步骤 2. 请求服务帐户 SPN 的服务票证。

只需执行几行 PowerShell，就会返回一个服务票证并将其存储在您系统的内存中。

Add-Type –AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken –ArgumentList ‘MSSQLSvc/jefflab-sql02.jefflab.local:1433’

步骤 3. 使用 Mimikatz 提取服务票据。

Mimikatz 将提取本地票据并将其保存到磁盘以供离线破解。只需安装 Mimikatz 并发出一个命令：

第四步：破解门票。

Kerberos 票证使用与票证请求中指定的 SPN 关联的服务帐户的密码进行加密。 Kerberoasting 工具提供了一个 Python 脚本来破解票证，并通过运行密码哈希字典来提供其明文密码。可能需要进行一些配置才能确保您拥有运行脚本所需的环境，但本博客涵盖了这些详细信息。

或者，您可以使用 GetUserSPNs 脚本收集 Kerberos 票证，并使用 Hashcat 密码恢复工具破解它们。

防范 Kerberoasting 攻击

Kerberoasting 攻击的主要缓解措施是确保所有服务帐户都使用难以破解的长而复杂的密码，并定期轮换密码，以最大程度地减少成功破解密码的对手使用该帐户的时间。使用群组托管服务帐户是分配可自动轮换的随机、复杂密码的最佳做法。

由于攻击者离线破解票证，因此该过程不会产生任何网络流量，从而使该部分攻击无法检测到。但您可以通过使用可靠的安全解决方案监控 Active Directory 来发现早期步骤。特别是，服务帐户通常以相同的方式从相同的系统使用，因此请注意检测异常身份验证请求。此外，监视服务票证请求的峰值。

最后，安全专家还建议禁用基于 RC4 的加密。否则，即使用户帐户支持 AES 加密，攻击者也可以请求 RC4 加密的票证，这比使用 AES 加密创建的票证更容易破解。