SoNaJaa_!!
3 min readApr 28, 2024

Reset the Krbtgt Password (Testing *!!)

** มันมีความสงสัยเกี่ยวกับการโจมตีมาที่ Active Directory (Domain Controller) ภายในองกรณ์ของเราครับ..แง่ ๆ คือถ้า Attacker สามารถยึด Domain Controller ของเราได้นั้น แสดงว่า Attacker สามารถ Lateral Movement ไป Server ที่ Join Domain ได้ ทั้งองกรณ์เลยครับ 555+ อันนี้มันก็ เป็นธรรมดา Domain Admin แล้วก็ สบาย ๆ ๆ เลยครับ ชิว ๆ ขอไปเดินเล่น Server A, Server B, Server C, เพื่อเช็คของก่อนนะ ว่า มีของดีอะไรหรือป่าว ถ้ามีก็อยู่นาน ๆ หน่อย 555+ !!!! อันนี้คือปกติ ของการยึด Domain ได้ !!!@# แต่ในมุมมองหนึ่ง ของ ทีม สายป้องกันละครับที่เข้าไปทำ Case และถ้าไปเจอ Aritifacts/Evidence ที่มองว่า Attacker สามารถยึด Domain ได้แล้วละ หรือว่า ยังยึดไม่ได้ แต่ เข้าข่ายว่ากำลังจะยึดละครับ มันจะมี กระบวนการ ที่จะให้ลูกค้าทำ คร่าว ๆ เอาคร่าว ๆ ก่อน นึกได้แค่นี้ผ่าม ๆ ๆ เอาแบบสำคัญ ที่จะต้องทำ เลยฮะ !!!!

  1. Reset Password User ทั้งหมด บน AD ทุก User (Domain User, Domain Admin, Enterprice Admins) หรือ เอาง่าย ๆ คือ ทุก Users เลยนะครับ
  2. และจะมี อีก อันหนึ่งที่จะต้อง Reset คือ “KRBTGT” อันนี้แหละครับ คือ ตอนแรก ผมก็ งง อยู่ครับ ว่ามันทำงานอย่างไร อะไรคือ Kerberos ถึงตอนนั้นและตอนนี้ก็ ยัง งงเหมือนเดิมครับ 555 (1.มันทำงานอย่างไรหว่า…. 2.และคือ ทำไม่ถึงต้อง Reset User krbtgt ถึง 2 รอบ หรือ 3 รอบ แต่เอา 3 ไปเลย ดีกว่า 555) ก็เลยไปหาข้อมูลเกี่ยวกับ Microsoft มา ได้อันนี้มาฮะ — มันก็เกิดคำถาม ในใจว่า Password History ที่บอกว่าเก็บละ มันคือ อะไร เก็บตรงไหน — — เราจะเช็คได้ยังไงละ “พออยากรู้ ก็ต้องลองแว้ววว ” ลุย ๆ ๆ
  3. Promote Additional Domain Controller เครื่องใหม่ขึ้นมาและรอ Replicate เสร็จ และ Tranfer PDC มายังเครื่องใหม่ เพื่อ AD จะได้ สะอาด สะอาด 555
  4. Configuration AD Security : https://www.packetlabs.net/posts/best-practices-for-active-directory-security/
  5. Hardening Active Directory , Hardening Windows OS (CIS) อะไรกันเนีย มันเยอะจัง 555

Ref: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password <<< สำหรับการ Reset ตาม KB นี้ได้เลยครับ

เมื่อสงสัย..จะทำอย่างไรให้หายสงสัยละ…”ทดลองดิครับ 555”

1: Check Kerboros

Kerberos: Original -1
Kerberos: Original -1

Kerberos: Original -1

  • Kerberos
    Default Salt : SONAJAZA.LOCALkrbtgt
    Credentials
    des_cbc_md5 : d937b675626838ae
    OldCredentials
    des_cbc_md5 : 916eb0b302a4372a

2 : Reset Password > ครั้งที่ 1 >> เดียวเรามาดูความเปลี่ยนแปลงกันครับ

KRBTGT — Reset 1

3: Check Kerboros After Reset KRBTGT (1)

Kerberos: Reset KRBTGT(1)
Kerberos: Reset KRBTGT(1)
  • Kerberos
    Default Salt : SONAJAZA.LOCALkrbtgt
    Credentials
    des_cbc_md5 : f4fd1564a4a283cb
    OldCredentials
    des_cbc_md5 : d937b675626838ae

4 : Reset Password > ครั้งที่ 2 >> เดียวเรามาดูความเปลี่ยนแปลงกันครับ

KRBTGT — Reset 2

5: Check Kerboros After Reset KRBTGT (2)

Kerberos: Reset KRBTGT(2)
Kerberos: Reset KRBTGT(2)
  • Kerberos
    Default Salt : SONAJAZA.LOCALkrbtgt
    Credentials
    des_cbc_md5 : 2938375885dfc4c7
    OldCredentials
    des_cbc_md5 : f4fd1564a4a283cb

Remark: จากการทดสอบ สังเกตุว่า ตรง Credentials มันจะไม่เหมือนกัน ในระหว่างการ Reset Password “KRBTGT” !!!! เพื่อป้องกัน “Pass The Ticket, P”

บนความดี ๆ เกี่ยวกับ Kerberos Authentication / Active Directory
Ref: https://www.cyfence.com/article/kerberos-authentication-vulnerabilities/
Ref: https://medium.com/incognitolab/understand-kerberos-authentication-flow-in-window-domain-environment-f0afa0658a1d
Ref: https://datafarm-cybersecurity.medium.com/kerberos-authentication-flow-d071e8db5cfb
Ref: https://blog.snoopbees.com/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%82%E0%B8%88%E0%B8%A1%E0%B8%95%E0%B8%B5-active-directory-authentication-f2b6b614c3d9
Ref: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password
Ref: https://blog.quest.com/what-is-krbtgt-and-why-should-you-change-the-password/
Ref: https://www.alitajran.com/krbtgt-password-reset/

#แบ่งปัน

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ

#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก

#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ

#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

#Share_Knowledge_and_Experience

SoNaJaa_!!
SoNaJaa_!!

Written by SoNaJaa_!!

My Dream is Specialist Cybersecurity | Threat Hunting, DFIR | Blue Team | Red Team.

No responses yet