• Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket
    Cyberbezpieczeństwo Hacking

    Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket

    Marek „Netbe” Lampart Opublikowane w

    🎯 Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket

    🧠 Czym jest Kerberos?

    Kerberos to protokół uwierzytelniania używany w systemach Windows Active Directory. Działa na zasadzie „biletów” (tickets), które umożliwiają dostęp do zasobów bez ponownego podawania hasła. Kluczowym komponentem jest Ticket Granting Ticket (TGT), który potwierdza tożsamość użytkownika.

    🚨 Jak działają ataki na Kerberos?

    Cyberprzestępcy mogą wykorzystać słabości w implementacji Kerberosa, by:

    • podszyć się pod użytkownika lub administratora,
    • eskalować uprawnienia,
    • poruszać się lateralnie po sieci.

    🔓 Główne techniki ataków na Kerberos

    🎟️ 1. Pass-the-Ticket (PtT)

    Umożliwia atakującemu wykorzystanie przechwyconego biletu Kerberos (TGT lub TGS) do uzyskania dostępu do systemów i usług bez znajomości hasła.

    🔧 Narzędzia:

    • Mimikatz,
    • Rubeus,
    • Kerbrute.

    🏰 2. Golden Ticket

    Pozwala na wygenerowanie fałszywego TGT jako dowolny użytkownik (nawet Domain Admin), o ile atakujący ma klucz NTLM z konta krbtgt.

    🔑 Wymagania:

    • Pełna kontrola nad kontrolerem domeny (DC),
    • Dostęp do klucza krbtgt.

    💣 Skutki:

    • Całkowita kompromitacja domeny – atak trudny do wykrycia.

    🧾 3. Silver Ticket

    Atakujący generuje bilety TGS (do konkretnych usług, np. MSSQL) z pominięciem TGT. Wymaga znajomości hasha konta usługi.

    🔍 Zaleta:

    • Nie trzeba kontaktować się z KDC (Key Distribution Center),
    • Trudniejszy do wykrycia niż Golden Ticket.
    Czytaj  Zero Trust w środowiskach hybrydowych i legacy: Jak zabezpieczyć starsze systemy i infrastruktury mieszane

    🛠️ Inne techniki

    🔍 Kerberoasting

    Polega na przechwytywaniu biletów TGS i łamaniu ich offline, by uzyskać hasła kont serwisowych (SPN).

    🧪 AS-REP Roasting

    Atak na konta, które nie wymagają preauthentication. Umożliwia pobranie zaszyfrowanej odpowiedzi i złamanie offline.

    Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket
    Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket

    🛡️ Jak się chronić?

    🔒 Zabezpieczenia:

    • Zmień regularnie hasło konta krbtgt po podejrzeniu kompromitacji.
    • Używaj silnych haseł dla kont serwisowych z SPN.
    • Wymuszaj Kerberos Pre-Authentication.
    • Ogranicz uprawnienia kont – nie przydzielaj nadmiernych ról.
    • Wdróż monitoring logów KDC, np. Event ID 4769 i 4624.
    • Zastosuj EDR i SIEM do wykrywania anomalii.

    🧰 Narzędzia do ataków i detekcji

    🧨 Atakujące:

    • Mimikatz – generowanie Golden/Silver Ticketów.
    • Rubeus – Kerberoasting, TGT/TGS manipulacje.
    • Impacket – narzędzia do wykorzystania biletów.

    🛡️ Obronne:

    • Defender for Identity (dawniej ATA),
    • Sysmon + SIEM – korelacja zdarzeń,
    • Event Log Forwarding – centralna analiza logów.

    📊 Podsumowanie

    Ataki na Kerberos są zaawansowane i wymagają odpowiedniego przygotowania, ale dają ogromne możliwości kompromitacji środowiska. Zrozumienie działania Kerberosa i jego biletów to klucz do skutecznej obrony.

    ➡️ Regularny audyt kont, monitoring biletów i ochrona kontrolerów domeny to podstawy bezpieczeństwa w środowiskach Active Directory.

     

    Polecane wpisy
    Analiza podatności w popularnych systemach monitoringu sieci (Nagios, Zabbix)
    Analiza podatności w popularnych systemach monitoringu sieci (Nagios, Zabbix)

    🔍 Analiza podatności w popularnych systemach monitoringu sieci (Nagios, Zabbix) W dobie dynamicznego rozwoju infrastruktury IT, narzędzia do monitorowania sieci Czytaj dalej

    Metadane plików jako zagrożenie – co system ujawnia bez Twojej wiedzy
    Metadane plików jako zagrożenie – co system ujawnia bez Twojej wiedzy

    Metadane plików jako zagrożenie – co system ujawnia bez Twojej wiedzy     Większość użytkowników skupia się na treści pliku, Czytaj dalej

    Powiązane wpisy:

    1. Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    2. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    3. Ochrona Active Directory w Windows Server: Najnowsze Zagrożenia i Techniki Wzmacniania Bezpieczeństwa
    4. Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    5. Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    Czytaj  Inżynieria Odwrotna Wirusów: Jak analitycy bezpieczeństwa rozkładają złośliwe oprogramowanie na czynniki pierwsze
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również