搜索此博客

2017年8月16日星期三

使用Kerberoast破解Kerberos TGS票据:利用Kerberos突破活动目录域

本邮件内容由第三方提供,如果您不想继续收到该邮件,可 点此退订
使用Kerberoast破解Kerberos TGS票据:利用Kerberos突破活动目录域  阅读原文»

2017-08-16 11:30:27 阅读:2849次 收藏 来源: 安全客 作者:�d趣使然的小胃

http://p1.qhimg.com/t01876a66e1bfd82b39.jpg

译者:�d趣使然的小胃

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


一、前言

微软在活动目录(Active Directory)中使用了Kerberos机制,在过去几年里,安全研究人员以及攻击者针对Kerberos的具体实现做了许多工作。所发现的问题主要与Kerberos的传统支持(legacy support)特性有关,早在2000年,微软就发布了Windows Server 2000,一起发布的还包括活动目录。当使用Kerberos RC4加密(RC4_HMAC_MD5)方式时,传统支持特性就会启用,因为NTLM密码散列广泛使用了这种加密类型。

有多个Kerberos攻击方法利用了微软在活动目录中使用的传统支持特性。当微软发布Windows 2000以及活动目录时,他们需要支持Windows NT以及Windows 95,在带来了许多安全特性的情况下,同时也带来了一些较不安全的配置问题。这意味着微软需要支持多个不同的客户端,并且让这些客户端能够使用Kerberos特性。一种较为简单的实现方法就是将NTLM密码散列作为Kerberos RC4加密私钥,来加密及签名Kerberos票据。一旦NTLM密码散列暴露,攻击者就将散列值用于各种攻击场景,其中就包括突破活动目录域(大家是否还记得Golden Tickets以及Silver Ticket?)

在15年之后,微软现在依然支持RC4 Kerberos加密。事实上,在Windows Vista以及Windows Server 2008之前,Windows并不支持AES加密。虽然较新的操作系统默认情况下会使用AES Kerberos加密,然而,网络中可能依然在广泛使用RC4 Kerberos加密,甚至许多网络设备在默认情况下会禁用AES Kerberos加密

当在Kerberos加密选项中引入AES后,Windows将AES用于散列中,这是传统Windows密码散列方法的一个突破。这意味着当Kerberos RC4加密使用NTLM密码散列作为加密密钥时,Kerberos AES加密会使用AES哈希.aspx)来加密Kerberos票据。

在2016年9月份,我和Will Schroederblog.harmj0y.net)在DerbyCon 6上做了次演讲,展示了Kerberoast的工作机制。现在大家可以查看我们演讲的幻灯片【安全报告】谍影重重:中国DDoS产业现状大揭秘  阅读原文»

2017-08-16 15:51:05 阅读:3684次 收藏 来源: talosintelligence.com 作者:nstlBlueSky


http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517c3fc59b5d8625d81074ef21cbbf8ebc4de5894abeb47b33cc96a6cd93c74eb3d7.jpg

译者:nstlBlueSky

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


前言

在过去的几个月中,Talos团队监测到提供在线DDoS服务的中国网站数量在不断的增加。这些网站中的许多网站几乎都有相同的布局和设计,基本上都提供了一些简单的用户界面,这个界面上有一些诸如目标主机、端口、攻击方法以及攻击持续时间等功能。而且,这些网站大多数都是在过去六个月内注册的,但是,这些网站以不同的组织名称运营,并且拥有不同的注册人。此外,Talos团队还检测到这些网站的管理员之间经常会相互发动攻击,Talos团队试图去研究创建这些平台的工作人员,并分析为什么这些提供DDOS服务的平台最近这么流行。

在这篇博文中,我们将首先看看中国DDoS行业的发展趋势,并阐述它们向在线DDoS平台转变的原因。然后,我们将检测最近创建的这些DDoS平台的类型,并分析它们的相似之处和差异。最后,我们将对这些几乎相同的DDoS平台网站的源代码进行分析。


中国的DDoS行业现状

在中国,DDoS工具和服务在黑客市场中仍然是最受欢迎的产品之一,DuTe(独特)就是其中之一,该黑客工具包含了各种不同的DDoS相关工具、各种网络攻击工具以及多种网络协议的爆破工具,例如用于不同网络协议(SSH和RDP)的爆破工具。另外,中国的社交应用(例如微信群、QQ群等)中有数百个关于DDoS工具相关的群,这些社交软件群专门用于分享DDoS工具或者恶意软件等,在这些群中的人有黑客群体,客户以及可以充当媒介的代理商乃至广告商等。

以前,这些群聊中的主要产品是用户可以购买和下载的工具,在这类工具中,具有代表性的就是"天罚集群压力测试系统"了,如下图所示。这些工具通常用于管理用户的僵尸网络,允许用户自定义攻击事件、选择攻击目标以及攻击方法。通常来说,用户需要首先购买该工具,下载副本,然后再使用自己的服务器或者僵尸网络对目标进行攻击,但有时,黑客团体也会捆绑一些服务器或一定数量的僵尸主机卖给购买者,例如其中包括用来帮助用户增长自己僵尸网络的黑客工具。但是,用户都将需要自己去负责维护和部署这些购买的黑客工具。

 http://pic1.hackdig.com/pp/c3eab2e98ed566d0e41940afa978dad6c4af40ea691d7c76ef637ee3b4204430e919ace5947057f6f6de4b6de59fbf70.jpg


在线DDoS平台的兴起

最近,Talos团队已经注意到这些ddos小组聊天中正逐渐发生变化。在这些群聊中,在线DDoS平台的广告出现频率已经开始越来越高了。

 http://pic1.hackdig.com/pp/e9bc9757a3269a7bcd34a164302bda73eba574761897305424540e5502c6de95c8efc215fc4c30169819b9442b7769ff.jpg

经过对其中几个DDoS服务网站的分析之后,Talos团队注意到许多网站具有相同的登录和注册页面以及同样的背景图片:

 http://pic1.hackdig.com/pp/4ae20cb14ac9d56f7929b4ff9e5d5272eafe49f1f8e0e85729f5417f1b8d67dd6845d3a8deda5006cfa835065ed5658a.jpg

 http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517c825710f88181fbb2b8f8b5839cf073d3681eeeed2d9a53936ad7238860d56283.jpg

此外,Talos团队还检测到,这些网站中有许多网站的设计和布局几乎相同,例如这些提供DDOS服务网站都会显示在线活动用户和服务器的数量以及已执行的攻击总数(尽管这些数字在不同组之间可能有所不同)。 此外,这些站点还包含了组管理员关于DDOS工具的最新更新、功能介绍以及使用限制的通知。在侧栏中,用户可以注册一个帐户,购买激活码,之后便可以开始发起网络攻击,攻击方法是通过网站上的图形界面或通过命令行调用的方式来攻击目标,使用方法如下所示:

http://website_name/api.php?username=&password=&host=&port=&time=&method=

  

发帖者 时间:

没有评论:

发表评论

订阅: 博文评论 (Atom)