Jump to content

Password-hash vom krbtgt-Konto?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Schön ist ja der Satz, bzw. Die Kombination der zwei aussagen:

 

Zitat

So hart es klingt, aber es gibt keine vernünftige Möglichkeit, das Netzwerk sicher zu bereinigen, um den Angreifer auszusperren.


 

Zitat

Besteht also die Möglichkeit, dass ein Golden Ticket ausgestellt wurde, muss dieser Frage umgehend und umfassend nachgegangen werden.


 

Link zu diesem Kommentar

Moin,

 

ja, der Artikel ist sehr laienhaft und überspielt mangelnde Sachkenntnis mit reißerischer Darstellung.

 

Zitat

Ein solcher Hinweis könnte bspw. in einem ungewollten Ausführen von Mimikatz auf einem System der Domäne liegen.

 

Auch dies klingt ja kompetenter als es ist. Wie sollte man so einen Nachweis denn bringen? Ist ja nicht so, dass Mimikatz ins Eventlog schreibt, wenn es läuft. Und den Angriff erkennt man i.d.R. deshalb nicht, weil Mimikatz ja nun mal Lücken ausnutzt und die Kommunikation technisch betrachtet valide ist.

 

Das Ändern des krbtgt-Kennworts wiederum ist eigentlich nur dann sinnvoll, wenn man während des Vorgangs sicher sein kann, dass der Angreifer nicht im Netz ist. Das ist nach einem Angriff in einer Offline-Phase der Fall - bei einem regemläßigen, prophylaktischen Wechsel aber eben nicht. Wenn ein Angreifer in der Situation drin bleiben will, lässt er sich vom ersten Wechsel benachrichtigen und hat dann genügend Zeit, vor dem zweiten Wechsel zu reagieren.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 12 Minuten schrieb NorbertFe:

Schön ist ja der Satz, bzw. Die Kombination der zwei aussagen:

Das schlimme ist: Das war der von Google promotete Treffer, als ich nach "golden ticket gültigkeit" gesucht habe.

Hier schreibt man übrigens einen ähnlichen Unsinn:

 

https://lsi.bayern.de/mam/aktuelles/lsi-info_t06b_domaenencontroller.pdf

 

Zitat

Ein Golden Ticket bleibt auch nach einer Passwortänderung des Benutzerkontos krbtgt noch gültig (s. Kerberos- Reset weiter unten)

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...