Kerberos Attack: Silver Ticket Edition

Com um nome como Silver Ticket, ou Bilhete de Prata,  você pode pensar que não é tão assustador quanto seu primo, o Golden Ticket, mas está completamente errado. Um Bilhete de Prata é tão desagradável e invasivo quanto o outro, e ainda mais furtivo.

Uma pequena observação técnica: o Kerberos usa tokens de autenticação ou tíquetes para verificar identidades de entidades do Active Directory. Isso inclui usuários, contas de serviços, administradores de domínio e computadores. Todas essas entidades têm uma senha no Active Directory (AD) embora você possa não ter criado ou alterado isso manualmente.

O que é um Bilhete de Prata?
É um tíquete de autenticação de serviço falsificado. Um hacker pode criar um Bilhete de Prata quebrando uma senha de conta de computador e usando isso para criar um tíquete de autenticação falso. O Kerberos permite que os serviços efetuem login sem verificar se o token é realmente válido, e é essa vulnerabilidade usada pelos hackers.

Os Bilhetes de Prata são mais difíceis de serem detectados que os Golden Tickets porque não há comunicação entre o serviço e o DC. E qualquer log pode ser alvo de ataque.

Normalmente, os tíquetes Kerberos são verificados pelo Certificado de Conta Privilegiada (PAC) de terceiros. Entretanto, as contas de serviço, por algum motivo, nem sempre são verificadas, e esse é o motivo do ataque funcionar. Os serviços visados são aplicativos de baixo nível, como CIFS ou o Firewall do Windows.

Com um Bilhete de Prata em mãos, hackers podem usar uma técnica de passagem para elevar o acesso ou usar os privilégios do serviço para obter mais acesso. Embora seja mais limitado que seu primo dourado, com um pouco de criatividade, um invasor pode usa-lo para fazer uma grande infiltração.

O que os hackers podem fazer com um Bilhete de Prata?
Imaginemos que um invasor roubou seu domínio com um Bilhete de Prata. Apesar dos esforços para limpar o sistema após o ataque, o invasor continua com acesso a um computador e possui o PowerShell.

Isto é o que pode acontecer:

– O invasor usa algumas ferramentas hackers para exportar o hash de uma senha de conta de computador
– Quebram a senha da conta de serviço CIFS para fazer login
– Com a conta de serviço CIFS, roubam o diretório SYSVOL de C $
– Usam os arquivos no SYSVOL para acessar o hash de senha da conta de serviço HOST
– Decifram a senha da conta do serviço HOST
– Em seguida, usam a conta de serviço crackeada para criar uma nova tarefa agendada no computador
– Com isso, conseguem pegar o hash da conta KRBTGT
– Aí eles criam… outro Bilhete de Prata.

Como se defender de um ataque?

– Corrija todos os servidores e imagens para CVE-2014-6324
– Essa vulnerabilidade permite que um Bilhete de Prata se torne uma conta de administrador de domínio

– Defina todas as contas de administrador e serviço como “Sensíveis e não podem ser delegadas”
– Isso impede que um invasor faça movimentos para delegar sua conta hackeada a outros serviços ou computadores

– Certifique que as contas de computadores não sejam membros de grupos de administradores
– Altere as senhas das contas de computador a cada 30 dias

Como a Varonis pode para ataques de Bilhete de Prata?
Para criar o Bilhete de Prata, o invasor precisa usar uma ferramenta de hacking.  A Varonis mantém um banco de dados de ferramentas conhecidas de hackers – e pode alertá-lo quando um invasor acessa um desses itens.

A Varonis coleta e analisa dados de atividades do Active Directory, armazenamento de dados e as defesas de perímetro e analisa todos os dados para detectar comportamentos anormais e rastrear padrões de comportamento que podem ser ataques.