银票攻击

在本系列的第一篇文章中，我们展示了攻击者如何使用 PowerShell 发现 Active Directory 服务帐户，第二篇文章演示了如何使用 Kerberoasting 技术破解其密码。现在让我们看看攻击者如何利用 Kerberos Silver Tickets 来利用受损的服务帐户来伪造 TGS 票证。

银票概述

银票是攻击者使用受损服务帐户的密码哈希创建的伪造票证授予服务 (TGS) 票证。正如我们的示例所示，当攻击者破解了服务帐户的密码时，他们似乎不需要伪造票证即可代表其采取行动。

然而，银票确实提供了多项好处，包括以下内容：

• 攻击者不需要向域控制器验证帐户即可获取伪造的 TGS，因此他们可以在不创建网络流量和事件日志的情况下继续操作以避免检测。
• 可以为任何用户帐户（甚至是虚构帐户）创建银票。这使得攻击者可以利用服务帐户而无需冒被检测到的风险，而检测可能会导致密码重置和访问权限丢失。
• 还可以操纵 TGS 票证中的特权属性证书 (PAC) 以提升帐户对域的访问权限。在大多数情况下，提供 TGS 时，不会针对域控制器验证 PAC。

例如，在上一篇文章中，我们展示了攻击者如何危害 SQL 服务帐户。但该帐户没有任何数据库访问权限，也无法以交互方式登录计算机，因此攻击者无法轻松地利用它做很多事情。银票使他们能够提升其权限，以便他们可以使用它来完全控制托管在受感染 SQL Server 上的所有数据库。对他们来说更好的是，他们可以做到这一点，同时仍然很难被发现。

银票：它们如何运作

以下是银票攻击所涉及的步骤。

步骤 1. 获取服务或计算机帐户的密码哈希。

为了伪造 TGS 票证，攻击者必须拥有在计算机上运行服务的服务帐户或计算机帐户本身的 NTLM 密码哈希。在上一篇文章中，我们重点关注了在特定主机上运行 SQL 服务的服务帐户的安全问题。使用服务帐户的好处是，这些帐户可以在没有任何提升的域权限的情况下受到损害。为了破坏计算机帐户的 NTLM 哈希，攻击者必须获得该计算机的管理员权限。如果他们能够获取计算机 NTLM 哈希值，他们就可以伪造以本地系统帐户运行的任何服务的票证。这可能包括通用 Internet 文件系统服务（CIFS 服务），该服务将提供对计算机上存储的所有文件的访问。 Microsoft 在此处描述了在 Windows 操作系统上运行的其他服务。

在这篇文章中，我们将继续使用受损的 SQL Server 服务帐户的示例。

步骤 2. 使用 Mimikatz 创建伪造的服务票据。

通过一个或多个服务帐户的 NTLM 哈希，攻击者可以使用 Mimikatz 创建银票。创建这些票证所需的信息包括：

域 SID - 通过从命令提示符发出命令“Whoami /User”并复制末尾不带相对 ID (RID) 的 SID 值，可以轻松获取此值。

• 目标 - 这是主机，可以从 SPN 值复制。在我们的例子中，这是jefflab-sql02.jefflab.local:1433。
• 服务 - 这是为其创建票证的服务的名称。它必须是作为受损服务帐户运行的服务。我们的示例将使用 MSSQLSvc。
• 用户 - 这是为其创建票证的用户。它可以是任何用户帐户，甚至是不存在的用户帐户。
• 组 - 这是将添加到帐户的 PAC 中的组列表。默认情况下，它包括域管理员，但如果需要，可以使用一组自定义组。

以下是为名为 FakeUser 的用户创建具有域管理员权限的 MSSQLSvc 银票而发出的完整命令。

步骤3. 传递门票。

指定 /ptt 标志可自动将假票据注入内存。

攻击者现在拥有 FakeUser 帐户的伪造 Kerberos 票证：

有了内存中的票证，攻击者只需要一种针对目标主机发出 SQL 命令的方法，这将支持传递票证。他们可以使用 Microsoft 提供的 Sqlcmd.exe 实用程序。

正如您在上面的命令中看到的，攻击者能够与目标主机建立 SQL 连接，目标主机将其视为 JEFFFLABFakeUser。现在，他们作为一个甚至不存在的帐户连接到具有完全管理权限的 SQL 数据库！这使得调查攻击者执行的任何操作以及了解此访问最初是如何受到损害的变得更加困难。

通过查看 SQL Server 的安全日志，您可以看到它也会以 FakeUser 的身份跟踪登录事件：

防范银票攻击

检测银票攻击可能非常困难，因为它们绕过身份验证的整个 TGT 部分，并且无法通过查看域控制器日志进行监控。使用本地登录事件（如上所示的事件）监视登录异常可以帮助保护您的组织。但最好的选择是通过对服务帐户实施适当的安全措施来阻止这些攻击，这样它们就不会受到损害。