Jump to content

Password-hash vom krbtgt-Konto?


Recommended Posts

Ich habe mal wieder eine Frage: Wenn es jemand schafft, den Password-hash vom krbtgt-Konto zu dumpen, wird er sich sicher doch alsbald das Golden Ticket erzeugen. Was bringen dann die Änderungen dass Passwords?

Lt. Internet bleibt das Golden Ticket unbegrenzt gültig...?

Sorry, falls die Frage doof war.

 

Link to post

Moin,

zwischen dem ersten Pass-the-Hash und dem Golden Ticket liegen meist ein paar (Zeiteinheit je nach Paranoia/Optimismus einfügen). Das kannst Du in der Zeit mit der Änderung des KRBTGT-Kennworts abschneiden.

Edited by cj_berlin
Link to post
vor 19 Stunden schrieb NilsK:

Moin,

 

Das Golden Ticket wird ungültig, wenn der Kennwort-Hash sich zweimal geändert hat. Es ist mit diesem Hash verschlüsselt.

 

Gruß, Nina

Hi Nina ;)

 

dann bin ich gestern beim Googeln wohl auf eine Seite gestoßen, wo es falsch stand.

Link to post

Schön ist ja der Satz, bzw. Die Kombination der zwei aussagen:

 

Zitat

So hart es klingt, aber es gibt keine vernünftige Möglichkeit, das Netzwerk sicher zu bereinigen, um den Angreifer auszusperren.


 

Zitat

Besteht also die Möglichkeit, dass ein Golden Ticket ausgestellt wurde, muss dieser Frage umgehend und umfassend nachgegangen werden.


 

  • Like 1
Link to post

Moin,

 

ja, der Artikel ist sehr laienhaft und überspielt mangelnde Sachkenntnis mit reißerischer Darstellung.

 

Zitat

Ein solcher Hinweis könnte bspw. in einem ungewollten Ausführen von Mimikatz auf einem System der Domäne liegen.

 

Auch dies klingt ja kompetenter als es ist. Wie sollte man so einen Nachweis denn bringen? Ist ja nicht so, dass Mimikatz ins Eventlog schreibt, wenn es läuft. Und den Angriff erkennt man i.d.R. deshalb nicht, weil Mimikatz ja nun mal Lücken ausnutzt und die Kommunikation technisch betrachtet valide ist.

 

Das Ändern des krbtgt-Kennworts wiederum ist eigentlich nur dann sinnvoll, wenn man während des Vorgangs sicher sein kann, dass der Angreifer nicht im Netz ist. Das ist nach einem Angriff in einer Offline-Phase der Fall - bei einem regemläßigen, prophylaktischen Wechsel aber eben nicht. Wenn ein Angreifer in der Situation drin bleiben will, lässt er sich vom ersten Wechsel benachrichtigen und hat dann genügend Zeit, vor dem zweiten Wechsel zu reagieren.

 

Gruß, Nils

 

Link to post
vor 12 Minuten schrieb NorbertFe:

Schön ist ja der Satz, bzw. Die Kombination der zwei aussagen:

Das schlimme ist: Das war der von Google promotete Treffer, als ich nach "golden ticket gültigkeit" gesucht habe.

Hier schreibt man übrigens einen ähnlichen Unsinn:

 

https://lsi.bayern.de/mam/aktuelles/lsi-info_t06b_domaenencontroller.pdf

 

Zitat

Ein Golden Ticket bleibt auch nach einer Passwortänderung des Benutzerkontos krbtgt noch gültig (s. Kerberos- Reset weiter unten)

 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...