Раскуриваем Golden Ticket и смотрим артефакты

🔥 Атака Golden Ticket позволяет злоумышленнику выпустить золотой билет Kerberos (TGT) с помощью секретного ключа (хэш) сервисной учетной записи KRBTGT. Данная техника позволяет максимально скрыть следы своего присутствия, поскольку для инфраструктуры злоумышленник будет казаться легитимным пользователем, но без фактической аутентификации и с желаемыми правами. В данной статье разберем атаку на практике и научимся ее детектить по артефактам...

https://habr.com/ru/articles/836818/

#golden_ticket #goldenticket #ad #activedirectory #rubeus #impacket

Эксперименты с Golden Ticket

Пожалуй, одной из самых опасных и крайне нежелательных сущностей, которые могут завестись в скомпрометированной Windows-инфраструктуре, является Golden Ticket. Это абсолютно легитимный Kerberos-билет, содержащий специально созданные данные, позволяющие злоумышленнику обойти нормальные механизмы проверки и получить высокие привилегии в сети. С помощью золотого билета злоумышленник может получить доступ к любому ресурсу в Active Directory, притворяясь валидным пользователем, без фактической аутентификации. Про Golden Ticket написано уже очень много статей, и аналитики знают, что такую атаку очень сложно обнаружить (большой труд в этом направлении проделали коллеги из R-Vision, рекомендуем к прочтению статью о Golden Ticket ). Не так давно Microsoft выпустила поэтапные обновления безопасности, которые меняют правила использования Golden Ticket. В этой статье мы постараемся разобраться, как обстоят дела с этой атакой сейчас и как Microsoft упростила ее детектирование своими обновлениями. Мы возьмем два инструмента (Mimikatz и Rubeus), сделаем с помощью них Golden Ticket с разными параметрами, а потом попробуем ими воспользоваться и посмотрим, какие сгенерируются события и как отследить их в SOC.

https://habr.com/ru/companies/jetinfosystems/articles/783518/

#kerberos #атака #microsoft #детектирование #mimikatz #rubeus #soc #обновление_безопасности #system #события_журнала

LAN-party для пентестеров: прорываемся к домен контроллеру через розетку

Сегодня расскажу про внутренний пентест, в ходе которого мы без учетной записи добрались до администратора домена. В этом проекте использовались много разнообразных техник: от декомпиляции приложения и расшифровки извлеченных учетных данных, до повышения привилегий через базу данных на сервере и сбора информации от имени учетной записи компьютера. Под катом подробно разобрано, как они сложились в успешный вектор атаки.

https://habr.com/ru/companies/bastion/articles/767706/

#информационная_безопасность #DCSync #active_directory #пентест #взлом_корпоративной_сети #dotNET #Rubeus #ntlm_взлом

Nice summary of #ad #pentest Tools and Commands: https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet

Including "stealthy" get-aduser and Common #bloodhound #rubeus and #powerview

#pentest #infosec #activedirectory

Uncovering Adversarial LDAP Tradecraft: https://www.binarydefense.com/resources/blog/uncovering-adversarial-ldap-tradecraft/

#ldap #Kerberoasting #rubeus #adversarialtradecraft

Interested in exploring the world of #ActiveDirectory attacks from the eyes of the adversary? Join our comprehensive 2-day course!

Learn the nuances of network poisoning, authentication protocol attacks, and more. Get hands-on experience with #Bloodhound, #Rubeus, #Impacket, #Mimikatz, and more.

Register: https://www.eventbrite.com/e/advanced-threat-emulation-active-directory-tickets-565080931277

#CyberSecurity #RedTeam #InfoSec

#letsroll #muggles #d20

2-5-13 → #potions
19-17-7 → #tender
17-2-1 → #death
1-6-3 → #even
1-18-10 → #rubeus
3-12-5 → #yet

potions-tender-death-even-rubeus-yet

Roll your own @ https://www.eff.org/deeplinks/2018/08/dragon-con-diceware

#letsroll #muggles #d20

4-1-13 → #seeker
1-18-10 → #rubeus
10-14-17 → #laughing
7-2-7 → #seems
9-18-4 → #smallest
7-16-20 → #ernie

seeker-rubeus-laughing-seems-smallest-ernie

Roll your own @ https://www.eff.org/deeplinks/2018/08/dragon-con-diceware