Kerberoasting v2

[whowh0]

Начал пилить SPN Honeypot, осталось допилить уведомления наверное и уже будет первая версия "спн ханипота"

https://github.com/whoamins/SPN-Honeypot

[whowh0]

upd: ну +- дописал, можно сделать еще уведомление на почту.

[pridoorok]

kerberos armoring это конечно здорово, но стоит включить те политики на контроллере домена и пользователи домена с клиентских машин в домене не могут даже залогинится на свои раб.станции, wireshark показывает ту же ошибку что и в статье (хорошо что это всё в виртуалках происходит, а не в "продакшене"), и это не говоря про всякие легаси системы и софт, а всё потому что эти политики сами не приедут на клиентские машины, т.е. получается это надо на каждой из сотен(а у кого-то и тысяч) машин их руками включить. Вопрос: are you f kidding me?!

[CyberLympha]

Любая политика ужесточающая сетевой обмен в домене AD должна применяться аккуратно: это относится и к отключению легаси механизмов аутентификации, и к требованию по использованию LDAPs и пр.

И тут есть два варианта:

1. Подождать, пока MS сделает соответствующую политику дефолтной – они это делают с учетом груза легаси, медленно и аккуратно. Например, сейчас те же соединения LDAP по умолчанию уже требуют безопасное соединение, а LM hash (наконец-то) больше не формируется вообще. Но надо понимать, что все время, пока MS не сделает эту опцию опцией по умолчанию – ваши системы будут уязвимы.

2. Можно внедрить эту настройку, но аккуратно, как это делается для любых других харденингов взаимодействия клиент-сервер. Для этого нужно:

   1. Проверить, что домен удовлетворяет требованиям (все контроллеры домена с ОС не ниже Win server 2012, соответствующие функциональные уровни домена и леса).

   2. Включаем на серверах опцию использования FAST в рекомендуемом режиме (“Always provide claims”) – естественно, с помощью GPO, а не вручную. Далее, ту же опцию развертываем на клиенты (и тоже с помощью GPO). А потом долго и нудно мониторим события на предмет наличия клиентов, которые не смогли сформировать запрос с поддержкой FAST. И для каждого вида ПО изучаем, что можно сделать – обновить, заменить, сменить настройки и пр.

Повторюсь, что это верно для любой другой опции, которая ужесточает взаимодействие клиента и сервера – будь то переход на SMB новой версии, отключение уязвимых протоколов аутентификации или требование обязательного шифрования канала.