Kerberos es un protocolo de autenticación de redes de creado por el MIT que permite a dos ordenadores en una red demostrar su identidad mutuamente de manera segura.
Windows usa este protocolo por defecto para la autenticación segura en Windows y en un Active Directory en contraposición con NTML.
Kerberos es un vector de numerosos ataques como Pass-the-Ticket. Golden Ticket, Silver Ticket, Kerberoasting, etc. de acceso y perpsistencia enfocado en la matriz de Mitre en «Credential Access».
Mediante Metasploit hemos realizado un una conexion reversa a una maquina Windows Server 2022.
Luego mediante el módulo de post explotación phish_windows_credentials le enviamos un popup pidiendo una autenticación al usuario de Windows Server.
Cuando el usuario entra sus credenciales en el cuadro de dialogo del sistema podremos obtenerlas en Metasploit.
En Wazuh, podemos ver una serie de alertas relacionadas con el ataque, en concreto unas alertas con unas peticiones de tickets de Kerberos en un Windows logon success.
Aunque vemos el nivel de alerta por defecto de «3», podremos ver en más abajo, más alertas relacionadas con el incidente, como la ejecución sospechosa del binario creado con msfvenom. La relación de alertas nos hace sospechar del trajin que se está tramando..
Un saludo.