Техники: T1558 , T1558.001 , T1558.002 , T1558.003 , T1558.004 , T1558.005
Злоумышленники могут попытаться украсть билеты Kerberos, хранящиеся в файлах кэша учетных данных (или ccache). Эти файлы используются для кратковременного хранения учетных данных активной сессии пользователя. Файл ccache создается при аутентификации пользователя и позволяет получить доступ к нескольким сервисам без необходимости повторного ввода учетных данных.
Конфигурационный файл /etc/krb5.conf и переменная окружения KRB5CCNAME используются для задания места хранения записей ccache. В Linux учетные данные обычно хранятся в каталоге `/tmp` с форматом именования `krb5cc_%UID%` или `krb5.ccache`. В macOS записи ccache по умолчанию хранятся в памяти со схемой именования `API:{uuid}`. Обычно пользователи взаимодействуют с хранилищем билетов с помощью kinit, который получает Ticket-Granting-Ticket (TGT) для принципала; klist, который перечисляет полученные билеты, хранящиеся в кэше учетных данных; и других встроенных двоичных файлов.(Цитата: Kerberos GNU/Linux)(Цитата: Binary Defense Kerberos Linux)
Злоумышленники могут собирать билеты из файлов ccache, хранящихся на диске, и аутентифицироваться как текущий пользователь без своего пароля для выполнения атак Pass the Ticket. Злоумышленники также могут использовать эти билеты, чтобы выдать себя за легитимных пользователей с повышенными привилегиями для выполнения Privilege Escalation. Инструменты вроде Kekeo также могут использоваться злоумышленниками для преобразования файлов ccache в формат Windows для дальнейшего Lateral Movement. В macOS злоумышленники могут использовать инструменты с открытым исходным кодом или фреймворк Kerberos для взаимодействия с файлами ccache и извлечения TGT или Service Tickets через API нижнего уровня.(Цитирование: SpectorOps Bifrost Kerberos macOS 2019)(Цитирование: Linux Kerberos Tickets)(Цитирование: Brining MimiKatz to Unix)(Цитирование: Kekeo)
https://attack.mitre.org/techniques/T1558/005
Визуализация смежных техник для T1558.005
| № | Техника |
|---|
