KrbRelayUp

次の攻撃プリミティブの悪用を合理化するために、RubeusとKrbRelayのいくつかの機能（および謝辞セクションの他のいくつかの名誉ある言及）の単純なラッパー：

0. （オプション）新しいマシンアカウントの作成（New-MachineAccount）
1. ローカルマシンアカウントの認証強制（KrbRelay）
2. LDAPへのKerberosリレー（KrbRelay）
3. RBCD特権を追加し、特権STをローカルマシン（Rubeus）に取得します
4. 上記のSTを使用して、ローカルService Managerに対して認証し、NT/SYSTEMとして新しいサービスを作成します。（SCMUACBypass）

これは基本的に、LDAP署名が適用されていないWindowsドメイン環境（デフォルト設定）でのユニバーサルな修正なしのローカル権限昇格です。

更新： この攻撃を手動で実行する方法についての@ an0n_r0による優れた記事があります（この攻撃パスの元のツールを使用： PowerMad / SharpMad、KrbRelay、Rubeus、SCMUACBypass）

使用法

KrbRelayUp - Relaying you to SYSTEM

RELAY:
Usage: KrbRelayUp.exe relay -d FQDN -cn COMPUTERNAME [-c] [-cp PASSWORD | -ch NTHASH]

    -d  (--Domain)                   FQDN of domain.
    -c  (--CreateNewComputerAccount)    Create new computer account for RBCD. Will use the current authenticated user.
    -cn (--ComputerName)             Name of attacker owned computer account for RBCD. (deafult=KRBRELAYUP$ [if -c is enabled])
    -cp (--ComputerPassword)         Password of computer account for RBCD. (deafult=RANDOM [if -c is enabled])
    -ch (--ComputerPasswordHash)     Password NT hash of computer account for RBCD. (Optional)
    -p  (--Port)                     Port for Com Server (default=12345)

SPAWN:
Usage: KrbRelayUp.exe spawn -d FQDN -cn COMPUTERNAME [-cp PASSWORD | -ch NTHASH] <-i USERTOIMPERSONATE>

    -d  (--Domain)                   FQDN of domain.
    -cn (--ComputerName)             Name of attacker owned computer account for RBCD.
    -cp (--ComputerPassword)         Password of computer account for RBCD.
    -ch (--ComputerPasswordHash)     Password NT hash of computer account for RBCD. (Optional)
    -i  (--Impersonate)              User to impersonate. should be a local admininstrator in the target computer. (default=Administrator)
    -s  (--ServiceName)              Name of the service to be created. (default=KrbSCM)
    -sc (--ServiceCommand)           Service command [binPath]. (default = spawn cmd.exe as SYSTEM)

KRBSCM:
Usage: KrbRelayUp.exe krbscm <-s SERVICENAME> <-sc SERVICECOMMANDLINE>

    -s  (--ServiceName)              Name of the service to be created. (default=KrbSCM)
    -sc (--ServiceCommand)           Service command [binPath]. (default = spawn cmd.exe as SYSTEM)

例

TODO

• []コードのリファクタリングとクリーンアップ!!!
• []RELAYメソッドとしてShadowCred攻撃を追加します
• []ネットワークサービス->システムシナリオで使用されるSPAWNメソッドにTGTDELEG攻撃を追加（ジャガイモの代替）
• [] RELAYメソッドとSPAWNメソッドを1つの実行に組み合わせて、1つの完全なコマンドとして使用できるようにしようとしている問題を修正します。おそらく、RELAYとSPAWNの両方の機能がCOMサーバーの初期化中にフックに依存しているという事実と関係があります（RELAYがCOMサーバーを初期化すると、SPAWNはフックを配置するために再初期化できません）

緩和と検出

• LDAP署名とLDAPチャネルバインディングを適用して、マシンアカウントKRB認証のLDAPへの中継を軽減します。これは、「ドメインコントローラー：LDAPサーバーの署名要件」GPOを介して構成できます。（この件についてツイートしてくれたWill Dormannに感謝します）
• ADのMS-DS-Machine-Account-Quota属性を0に設定して、攻撃要件を取得しにくくします。これにより、ユーザーがドメインに新しいマシンアカウントを追加することができなくなります。これはADの危険なデフォルト設定です。必ず変更してください。
• すべての管理者アカウントに「アカウントは機密であり、委任できません」というフラグを設定すると（または保護されたユーザーにそれらを配置すると）、攻撃パスを完了するために委任できる必要な権限を持つアカウントがなくなります。（このツイートをしてくれたChristoph Faltaに感謝します）
• 可能な監視および検出ルールのリソース：
  1. https://github.com/tsale/Sigma_rules/blob/main/windows_exploitation/KrbRelayUp.yml（@Kostastsale）_ _
  2. https://twitter.com/SBousseaden/status/1518976397364056071（@SBousseaden）。_ 主に、127.0.0.1からのKerberosを介したService Managerへの認証に関するルール、すばらしい作業です。
  3. https://www.linkedin.com/posts/john-dwyer-xforce_threathunting-threatdetection-blueteam-activity-6924739962131140608-py45/（John Dwyer @TactiKoolSec）_
  4. https://twitter.com/cyb3rops/status/1519241598311321601（@ cyb3rops）_

謝辞

• James Forshawは、 Kerberosリレーに関する研究と、この攻撃をローカルのみにするためのパズルの欠片であったService Managerへのローカル認証にKerberosサービスチケットを使用する方法を理解してくれました（その前に、リモートマシンを使用してターゲットマシンへの特権アクセスを取得するために、リモートマシンにSTを送信します）。また、このプロジェクトで使用された彼のNew-MachineAccount機能についても。
• Cube0x0このプロジェクトは、KrbRelayに関する彼のすばらしい作業なしには存在しませんでした。そこから多くのコードが取得され、Kerberosリレーがどのように機能するかをより深く理解することができました（コンセプトが良い）。
• Schroederと、私たち全員が知っていて愛しているRubeusに貢献したすべての人。基本的に、すべてのRBCD-S4U機能はそこから取得されました。
• Orange-Cyber​​defenseは、私が使用しているActive Directory研究所であるGOADでの作業に感謝します。これは、デモビデオと画像で見ることができます。