Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1558.004 - AS-REP-ростинг

Техники:  T1558 , T1558.001 , T1558.002 , T1558.003 , T1558.004 , T1558.005

Злоумышленники могут раскрыть учетные данные учетных записей, в которых отключена предварительная аутентификация Kerberos, путем Password Cracking сообщений Kerberos.(Цитата: Harmj0y Roasting AS-REPs Jan 2017)

Предварительная аутентификация обеспечивает защиту от автономной Password Cracking. Когда эта функция включена, пользователь, запрашивающий доступ к ресурсу, инициирует взаимодействие с контроллером домена (DC), отправляя сообщение Authentication Server Request (AS-REQ) с меткой времени, зашифрованной хэшем пароля. Если и только если DC сможет успешно расшифровать временную метку с хэшем пароля пользователя, он отправит сообщение Authentication Server Response (AS-REP), содержащее билет на предоставление билета (Ticket Granting Ticket, TGT) пользователю.Часть сообщения AS-REP подписывается паролем пользователя.(Цитата: Microsoft Kerberos Preauth 2014)

Для каждой учетной записи, найденной без предварительной аутентификации, Злоумышленник может отправить сообщение AS-REQ без зашифрованной метки времени и получить сообщение AS-REP с данными TGT, которые могут быть зашифрованы с помощью небезопасного алгоритма, такого как RC4. Восстановленные зашифрованные данные могут быть уязвимы для автономных атак Password Cracking, аналогичных Kerberoasting, и раскрывать учетные данные в открытом тексте.(Цитата: Harmj0y Roasting AS-REPs Jan 2017)(Цитата: Stealthbits Cracking AS-REP Roasting Jun 2019)

Учетная запись, зарегистрированная в домене, с особыми привилегиями или без них, может быть использована для получения списка всех учетных записей домена, у которых отключена предварительная аутентификация, с помощью таких инструментов Windows, как PowerShell с фильтром LDAP. В качестве альтернативы злоумышленник может отправить сообщение AS-REQ для каждого пользователя. Если DC отвечает без ошибок, учетной записи не требуется предварительная аутентификация, и сообщение AS-REP уже будет содержать зашифрованные данные.(Цитата: Harmj0y Roasting AS-REPs Jan 2017)(Цитата: Stealthbits Cracking AS-REP Roasting Jun 2019)

Взломанные хэши могут позволить Persistence, Privilege Escalation и Lateral Movement через доступ к Valid Accounts.(Цитата: SANS Attacking Kerberos Nov 2014)

https://attack.mitre.org/techniques/T1558/004

← Назад

Визуализация смежных техник для T1558.004

Отрасль:
 с подтехниками
Техника

Закрыть