Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1558 , T1558.001 , T1558.002 , T1558.003 , T1558.004 , T1558.005
Злоумышленники могут злоупотребить действительным билетом Kerberos (TGT) или прослушать сетевой трафик, чтобы получить билет службы выдачи билетов (TGS), который может быть уязвим для Brute Force.(Цитата: Empire InvokeKerberoast Oct 2016)(Цитата: AdSecurity Cracking Kerberos Dec 2015)
Имена руководителей служб (SPN) используются для уникальной идентификации каждого экземпляра службы Windows. Для обеспечения аутентификации Kerberos требует, чтобы SPN были связаны хотя бы с одной учетной записью входа в службу (учетной записью, специально предназначенной для запуска службы(Цитата: Microsoft Detecting Kerberoasting Feb 2018)).(Цитата: Microsoft SPN)(Цитата: Microsoft SetSPN)(Цитата: SANS Attacking Kerberos Nov 2014)(Цитата: Harmj0y Kerberoast Nov 2016)
Злоумышленники, обладающие действительным Kerberos ticket-granting ticket (TGT), могут запросить один или несколько служебных билетов Kerberos ticket-granting service (TGS) для любого SPN у контроллера домена (DC).(Цитата: Empire InvokeKerberoast Oct 2016)(Цитата: AdSecurity Cracking Kerberos Dec 2015) Части этих билетов могут быть зашифрованы алгоритмом RC4, что означает, что хэш TGS-REP 5 TGS-REP etype 23 учетной записи службы, связанной с SPN, используется в качестве закрытого ключа и, таким образом, уязвим для автономного Brute Force атак, которые могут раскрыть учетные данные в открытом тексте.(Цитата: AdSecurity Cracking Kerberos Dec 2015)(Цитата: Empire InvokeKerberoast Oct 2016)(Цитата: Harmj0y Kerberoast Nov 2016)
Это же поведение может быть выполнено с использованием служебных билетов, захваченных из сетевого трафика.(Цитата: AdSecurity Cracking Kerberos Dec 2015)
Взломанные хэши могут позволить Persistence, Privilege Escalation и Lateral Movement через доступ к Valid Accounts.(Цитата: SANS Attacking Kerberos Nov 2014)
https://attack.mitre.org/techniques/T1558/003
Визуализация смежных техник для T1558.003
| № | Техника |
|---|
