С использованием NTLM-хэша учетной записи krbtgt в Active Directory может быть создан действительный Ticket Granting Ticket (TGT) от имени любого пользователя. Преимущество подделки TGT вместо TGS заключается в возможности доступа к любому сервису (или машине) в домене, а также имитации любого пользователя.
Атака с использованием Silver Ticket предполагает эксплуатацию service tickets в среде Active Directory (AD). Этот метод основывается на получении NTLM-хэша учетной записи службы, например, учетной записи компьютера, для подделки билета Ticket Granting Service (TGS). С помощью поддельного билета злоумышленник может получить доступ к определенным сервисам в сети, выдавая себя за любого пользователя, обычно с целью получения административных привилегий (использование AES-ключей для подделки билетов является менее заметным).
После того как злоумышленник скомпрометировал привилегированные учетные данные, он стремится обеспечить сохранение своего доступа к домену. То есть, даже если скомпрометированные учетные записи будут отключены или их пароли сброшены, злоумышленник хочет легко восстановить права администратора домена.
История SID используется для миграции. Когда пользователь мигрирует из одного домена в другой, привилегии пользователя сбрасываются, создается новый SID, пользователь добавляется в новые группы и т. д. Однако SID из групп, к которым пользователь принадлежит в старом домене, сохраняются. в атрибуте История SID.
Основная функция, добавленная в Mimkatz в августе 2015 года, — это «DCSync», которая фактически позволяет атакующему «выдавать себя» за контроллер домена и запрашивать данные пароля учетной записи у целевого контроллера домена. С помощью DCSync, злоумышленник может извлечь хэш пароля, а также предыдущие хэши паролей из контроллера домена по сети без необходимости интерактивного входа или копирования файла базы данных Active Directory (ntds.dit).
Skeleton Key атака — это сложный метод, который позволяет злоумышленникам обойти аутентификацию Active Directory путем внедрения мастер-пароля в контроллер домена. Это позволяет злоумышленнику аутентифицироваться от имени любого пользователя без пароля, фактически предоставляя ему неограниченный доступ к домену. Его можно выполнить с помощью инструмента Mimikatz. Это вредоносное ПО внедряется в LSASS и создает мастер-пароль, который будет работать для любой учетной записи Active Directory в домене. Поскольку текущие пароли пользователей также продолжают работать, атака Skeleton Key не нарушит процесс аутентификации, поэтому атаки трудно обнаружить, если вы не знаете, что искать.
Атака PetitPotam позволяет захватить контроллер домена всего за несколько действий. Атака основана на том, что можно заставить контроллер домена аутентифицироваться на вашем хосте, получить его хэш и ретранслировать его для повышения привилегий.
CVE-2020-1472, или Zerologon, позволяет атакующему скомпрометировать учетную запись машинного аккаунта контроллера домена и получить доступ к содержимому всей базы Active Directory. Она получила звание одной из самых опасных уязвимостей, обнаруженных за последние годы. Для эксплуатации достаточно наличия сетевой связности с контроллером домена организации.
В этой статье мы разберем различные сценарии получения паролей в системе Windows.
NetExec — это инструмент похожий на CrackMapExec и PsMapExec, который используется для удаленного выполнения команд на целевых машинах, что делает его полезным для тестирования на проникновение (пентестов) и постэксплуатации Active Directory.