Kerberos authentication protocol 2
Kerberos authentication protocol كما لم تراه من قبل الجزء الثاني
اتكلمنا المقاله اللى فاتت على Kerberos authentication وازاى بيشتغل وايه هو KDC وايه وظيفه TGT وكمان TGS تعالى بقى نعرف ايه هى Vulnerabilities اللى بتهدد Kerberos وازاى الهاكر بيحاول يسرق TGT او TGS او NTLM Password Hash او حتى يتخطى Kerberos
هات قهوتك وركز معايا
Kerberoasting
هى من اول التهديدات اللى استخدمها الهاكر سنه 2014 ولحد الان بتستخدم للحصول على الباسورد الخاصه Service Account وفكره عمل الاختراق ده ان الهاكر لو قدر يحصل على TGS Ticket بالتالى هيحصل على الباسورد الخاص Service Account ده ومع استخدام تكنيك brute force attack هيقدر الهاكر يكسر تشفير بتاعه TGS Ticket ويوصل للباسورد Service Account بالذات لو كانت الباسورده ضعيفه او مشهوره
طريقه العمل :-
اول حاجه هيحتاجها الهاكر عشان يقدر يطبق التكنيك ده انه يخترق جهاز User عادى او انه يوصل ل Username و password خاصه باي يوزر لانه هيحتاجها عشان يقدر يدور جوه AD على اى Service Account ليه SPN ومن اشهر Service Account فى الحاله دى بيكون SQL او IIS web services وفى اكتر من سكربت او تولز بتقدر انها تسخدم LDAP protocol وتدور على اى Service Account موجود وليه SPN فى AD عندك
اول ما الهكر هيوصل لاى Service Account و SPN الخاص بيه على طول باستخدام اى سكربت هيبعت request الى Kerberos بالتحديد الى Ticket Granting Service (TGS) هيطلب فيها انه عاوز TGS Ticket عشان يقدر ياكسس السرفيس دى ساعتها Kerberos هيرد عليه TGS Ticket وهتكون متشفره بالباسورد الخاص ٍService Account المربوط بيها زى مااحنا عرفين وباستخدام اى Tool بتقدر تقرى البيانات الموجوده فى memory هيقدر يوصل الى TGS Ticket دي بس هتكون متشفره ومن اشهر التولز اللى بتقدر تقرا البيانات اللى على memory هي mimikatz
دلوقتى الهاكر بعد ما قدر يجيب TGS Ticket بعد ماقدر يوصلها من على memory بس زى ماقولنا انها هتكون متشفره باسورد Service Account المربوط بيها هيتبدى يستخدم اى Tools بتقوم بعمل brute force attack ومن خلالها هيقدر يكسر الباسورد هاش ده ويوصل للباسورد Service Account بالذات لو كانت الباسورده ضعيفه او مشهوره
دلوقتى الهاكر بقى معاه Username وكمان Password ويقدر يستخدمها فى اى عمليه authentication بشكل صحيح ويقدر ينفذ اي هجوم بيها بناءا على صلاحيات Service Account ده بمعنى انه ممكن يكون Service Account ده ليه Local Administrator privileged على Servers الخاص بيه او ممكن يكون Service Account ليه صلاحيات Domain Admin على بيئه الدومين عندك وساعتها الهكر هيكون محظوظ وقدر انه يخترق الدومين بتاعك كله
Golden Ticket Attack
هى عباره عن عمل TGT مزوره بيستخدمها الهاكر فى انه يعمل authentication للسرفيس اللى هو عاوزها عن طريق سرقه الباسورد هاش الخاصه ب KRBTGT User بمعنى انه لو الهاكر قدر يوصل لشويه معلومات زى “Domain FQDN, Domain SID, Victim Username, KRBTGT password hash ” فى الحاله دى الهاكر هيقدر انه يعمل TGT مزوره ويقدر كمان ياكسس بيه السرفيس اللى هو عاوزها بناءا على صلاحيات اليوزر اللى عمل TGT المزوره ليه وفى الاغلب الهكر بيدور على اليوزر اللى بيكون Member فى الجروب اللى اخر SID بتاعه 512 لانه بيكون Domain admin Group او 519 وده بيكن Enterprise admin Group وفى حاله دى هو قدر يخترق الدومين كا كل
ممكن يكون تطبيق التكنيك ده صعب عشان المعلومات اللى الهاكر محتاجها كتير ولكن مش مستحيل لان ببساطه الهاكر لو قدر يوصل للمعلومات دى عن طريق اكتر من طريقه بمعنى انه لو قدر يخترق جهاز يوزر عادى فى الدومين فهو هيقدر يوصل لاول 3 معلومات مطلوبه ويمكن اصعب نقطه فى تطبيق التكنيك ده هو انه يقدر يوصل للباسورد الهاش الخاصه ب KRBTGT User ودي يقدر يوصلها عن طريق DCSync Attack
طيب ايه هو DCSync Attack
هو تكنيك بيقدر يستخدمه الهاكر فى انه يقدر يعرف NTLM Password Hash الخاصه بيوزر معين بس فى حاله انه يكون قدر يوصل username and password ليوزر عنده permission مخصوصه على الدومين هى ” replication directory changes, replication directory changes all “ساعتها الهكر يقدر عن طريق mimikatz فى انه يستخدم برتكول Directory Replication Service Remote Protocol (MS-DRSR) ويتحايل على الدومين وكان فى دومين كنترولر تانى عاوز يعمل replication معاه ويحصول على NTLM password Hash لاى يوزر هو عاوزه وفى الاغلب بيستخدم التكنيك ده عشان يوصل للباسورد الهاش الخاصه ب KRBTGT User ويقدر بعد كده يطبق Golden Ticket Attack
Silver Ticket attacks
هى نفس فكره Golden Ticket Attack بس فى Golden Ticket الهاكر كان بيعمل TGT مزيفه اما فى Silver Ticket الهاكر هيعمل TGS Ticket مزيفه عشان يخترق سرفيس معينه بس زى مااحنا عارفين ان TGS Ticket بتكون متشفره Service Account اللى مربوط بيها يعنى الهاكر محتاج يسرق NTLM Password Hash الخاصه ب Service Account ده والهكر فى الحاله دى ممكن يستخدم Kerberoasting Attack عشان يقدر يعرف NTLM Password Hash دي
زي ماقولنا الهكر هيستخدم Kerberoasting Attack عشان يعرف Service Account وSPN الخاصه بيه وعن طريق mimikatz هيقدر يقرا TGS Ticket من على Memory بس TGS Ticket هتكون مشفره فالهكر هيستخدم brute force attack عشان يقدر يعرف الباسورد الخاصه ب Service Accout وباى سكربت بسيط هيقدر يشرف الباسورد ويوصل NTLM Password Hash الخاصه Service Account ده بعدها الهاكر هيروح بسرعه mimikatz وهيعمل TGS Ticket مزيفه يقدر من خلال يروح للسرفير اللى عليه السرفيس ويقدر انه ياكسس السرفيس بنجاح ومن النقط المهمه والخطره فى الموضوع ده ان الهكر هيقدر يخترق السرفيس بدون اى اتصال مباشر مع الدومين كنترولر وفى الحاله دي هيكون صعب رصده
Pass the Ticket Attack
فكره عمل التكنيك ده ان الهكر لو قدر يخترق جهاز يوزر ولحسن الحظ اليوزر كان ليه administrator access privilege على الجهاز ده فالهكر هيقدر يشوف كل TGT & TGST لليوزر التانيه اللى شغاله فى نفس الوقت او عملت login او authentication على نفس الجهاز ولسه TGT & TGST بتاعتها مخزنه فى Memory وعن طريق mimikatz هيقدر يحصل على كل Users اللى استخدمت LSASS.exe process وال TGT & TGST بقت متخزنه على Memory ويقدر عن طريق نفس الاداه انه ينفذ او اي اداه مشابه انه Inject التكيك المسروقه TGT فى Session المطلوبه زى CMD مثلا او Poweshell عشان يقدر ياخود كل صلاحيات اليوزر ده بالذات لو كان ادمن يوزر
Pass the Hash Attack
نفس فكره عمل Pass the Ticket Attack ان الهكر لو قدر يخترق جهاز يوزر ولحسن الحظ اليوزر كان ليه administrator access privilege على الجهاز ده فالهكر هيقدر يشوف كل NTLM password Hash لليوزر التانيه اللى شغاله فى نفس الوقت او عملت login او authentication على نفس الجهاز ولسه NTLM Password Hash بتاعتها مخزنه فى Memory وعن طريق mimikatz هيقدر يحصل على كل Users اللى استخدمت LSASS.exe process وال NTLM Password Hash بقت متخزنه على Memory ويقدر عن طريق نفس الاداه انه ينفذ Pass the Hash technique ويقدر يعمل authentication عن طريق NTLM Password Hash بس وياكسس السرفيس على حسب صلاحيات اليوزر اللى قدر انه يوصل NTLM Password Hash بتاعته
انا عارف ان الموضوع تقيل شويه وشبه معقد ولكن لازم تكون عارف الطرق اللى ممكن يستخدمها الهكر عشان يقدر يخترق الشبكه عندك عشان تقدر توفر الحمايه المطلوبه واتمنى اكون قدمت لو جزء بسيط من الهجمات دى بالتحديد اللى بتهدد Kerberos وقدرت اوصل الفكره بطريقه بسيطه ومفهومه