Reset the Krbtgt Password (Testing *!!)
** มันมีความสงสัยเกี่ยวกับการโจมตีมาที่ Active Directory (Domain Controller) ภายในองกรณ์ของเราครับ..แง่ ๆ คือถ้า Attacker สามารถยึด Domain Controller ของเราได้นั้น แสดงว่า Attacker สามารถ Lateral Movement ไป Server ที่ Join Domain ได้ ทั้งองกรณ์เลยครับ 555+ อันนี้มันก็ เป็นธรรมดา Domain Admin แล้วก็ สบาย ๆ ๆ เลยครับ ชิว ๆ ขอไปเดินเล่น Server A, Server B, Server C, เพื่อเช็คของก่อนนะ ว่า มีของดีอะไรหรือป่าว ถ้ามีก็อยู่นาน ๆ หน่อย 555+ !!!! อันนี้คือปกติ ของการยึด Domain ได้ !!!@# แต่ในมุมมองหนึ่ง ของ ทีม สายป้องกันละครับที่เข้าไปทำ Case และถ้าไปเจอ Aritifacts/Evidence ที่มองว่า Attacker สามารถยึด Domain ได้แล้วละ หรือว่า ยังยึดไม่ได้ แต่ เข้าข่ายว่ากำลังจะยึดละครับ มันจะมี กระบวนการ ที่จะให้ลูกค้าทำ คร่าว ๆ เอาคร่าว ๆ ก่อน นึกได้แค่นี้ผ่าม ๆ ๆ เอาแบบสำคัญ ที่จะต้องทำ เลยฮะ !!!!
- Reset Password User ทั้งหมด บน AD ทุก User (Domain User, Domain Admin, Enterprice Admins) หรือ เอาง่าย ๆ คือ ทุก Users เลยนะครับ
- และจะมี อีก อันหนึ่งที่จะต้อง Reset คือ “KRBTGT” อันนี้แหละครับ คือ ตอนแรก ผมก็ งง อยู่ครับ ว่ามันทำงานอย่างไร อะไรคือ Kerberos ถึงตอนนั้นและตอนนี้ก็ ยัง งงเหมือนเดิมครับ 555 (1.มันทำงานอย่างไรหว่า…. 2.และคือ ทำไม่ถึงต้อง Reset User krbtgt ถึง 2 รอบ หรือ 3 รอบ แต่เอา 3 ไปเลย ดีกว่า 555) ก็เลยไปหาข้อมูลเกี่ยวกับ Microsoft มา ได้อันนี้มาฮะ — มันก็เกิดคำถาม ในใจว่า Password History ที่บอกว่าเก็บละ มันคือ อะไร เก็บตรงไหน — — เราจะเช็คได้ยังไงละ “พออยากรู้ ก็ต้องลองแว้ววว ” ลุย ๆ ๆ
- Promote Additional Domain Controller เครื่องใหม่ขึ้นมาและรอ Replicate เสร็จ และ Tranfer PDC มายังเครื่องใหม่ เพื่อ AD จะได้ สะอาด สะอาด 555
- Configuration AD Security : https://www.packetlabs.net/posts/best-practices-for-active-directory-security/
- Hardening Active Directory , Hardening Windows OS (CIS) อะไรกันเนีย มันเยอะจัง 555
Ref: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password <<< สำหรับการ Reset ตาม KB นี้ได้เลยครับ
เมื่อสงสัย..จะทำอย่างไรให้หายสงสัยละ…”ทดลองดิครับ 555”
1: Check Kerboros
Kerberos: Original -1
- Kerberos
Default Salt : SONAJAZA.LOCALkrbtgt
Credentials
des_cbc_md5 : d937b675626838ae
OldCredentials
des_cbc_md5 : 916eb0b302a4372a
2 : Reset Password > ครั้งที่ 1 >> เดียวเรามาดูความเปลี่ยนแปลงกันครับ
3: Check Kerboros After Reset KRBTGT (1)
- Kerberos
Default Salt : SONAJAZA.LOCALkrbtgt
Credentials
des_cbc_md5 : f4fd1564a4a283cb
OldCredentials
des_cbc_md5 : d937b675626838ae
4 : Reset Password > ครั้งที่ 2 >> เดียวเรามาดูความเปลี่ยนแปลงกันครับ
5: Check Kerboros After Reset KRBTGT (2)
- Kerberos
Default Salt : SONAJAZA.LOCALkrbtgt
Credentials
des_cbc_md5 : 2938375885dfc4c7
OldCredentials
des_cbc_md5 : f4fd1564a4a283cb
Remark: จากการทดสอบ สังเกตุว่า ตรง Credentials มันจะไม่เหมือนกัน ในระหว่างการ Reset Password “KRBTGT” !!!! เพื่อป้องกัน “Pass The Ticket, P”
บนความดี ๆ เกี่ยวกับ Kerberos Authentication / Active Directory
Ref: https://www.cyfence.com/article/kerberos-authentication-vulnerabilities/
Ref: https://medium.com/incognitolab/understand-kerberos-authentication-flow-in-window-domain-environment-f0afa0658a1d
Ref: https://datafarm-cybersecurity.medium.com/kerberos-authentication-flow-d071e8db5cfb
Ref: https://blog.snoopbees.com/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%82%E0%B8%88%E0%B8%A1%E0%B8%95%E0%B8%B5-active-directory-authentication-f2b6b614c3d9
Ref: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password
Ref: https://blog.quest.com/what-is-krbtgt-and-why-should-you-change-the-password/
Ref: https://www.alitajran.com/krbtgt-password-reset/
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
