Overpass the Hash

Overpass the Hash는 사용자의 NTLM 해시나 AES 키를 이용하여 TGT를 발급받는 공격 방법입니다.

Abuse

# 알고리즘을 명시하여 Overpass the Hash 공격
.\Rubeus.exe asktgt /user:'<username>' /aes256(ntlm):'<hash>' /nowrap /domain:'<netbios>' /opsec

사용자의 평문 자격 증명을 이용하여 생성한 TGT는 티켓의 옵션 값이 0x40810010인 반면, 이 기법을 기본적으로사용하여 생성한 TGT는 0x40800010입니다.

정상적 요청과 비슷하게 하여 탐지의 가능성을 최소화 하기 위해서는 opsec 옵션을 함께 사용해 티켓 옵션을 위조합니다.

언급한 방법들을 모두 사용해 탐지를 최소화 한다고 하더라도 정상적인 Kerberos 트래픽은 LSASS에서만 발생하는 반면, Rubeus는 LSASS를 건드리지 않기 때문에 비정상적 트래픽으로 보일 수 있습니다.

Last updated 2 months ago