Новый инструмент для пентестинга Active Directory: управление KeyCredentialLink

Компания RedTeamPentesting представила новый инструмент – keycred для управления и проверки KeyCredentialLink в среде Active Directory (AD). Этот инструмент играет важную роль в тестировании безопасности AD-систем и выявлении уязвимостей. С помощью keycred системные администраторы и специалисты по пентестингу могут управлять атрибутом msDS-KeyCredentialLink, добавлять и удалять сертификаты, а также выполнять другие операции.

Основные возможности keycred:

Методы аутентификации:

Kerberos (пароль, NT-хэш, AES-ключ, CCache, PKINIT).
mTLS (взаимная TLS-аутентификация).
NTLM (по паролю или NT-хэшу).
SimpleBind-аутентификация.

UnPAC-the-Hash:

Возможность извлечения NT-хэша пользователя через PKINIT Kerberos-аутентификацию.

Кроссплатформенность:

Доступен в виде единственного бинарного файла, что позволяет использовать его на разных операционных системах.

Работа с сертификатами:

Поддержка сертификатов с расширением otherName SAN, что позволяет работать без ввода имени пользователя или домена.

Функции резервного копирования и восстановления:

Возможность резервного копирования и восстановления KeyCredentialLink, что полезно при изменении атрибутов учетных записей компьютеров.

Соответствие стандартам:

keycred создает KeyCredentialLink в соответствии с установленными стандартами безопасности для безопасного управления атрибутами msDS-KeyCredentialLink.

Поддерживаемые команды keycred:

Add – создание сертификатов/ключей и их регистрация в LDAP.
List – просмотр KeyCredentialLink у указанного или всех пользователей.
Remove/Clear – удаление одного или всех KeyCredentialLink пользователя.
Backup/Restore – резервное копирование существующих KeyCredentialLink и их восстановление при необходимости.
Authentication Tools – извлечение NT-хэшей через PKINIT (auth) или очистка KeyCredentialLink после получения учетных данных (burn).

Дополнительный инструмент pfxtool

Проект keycred включает вспомогательный инструмент pfxtool, который позволяет:

Создавать, разделять, шифровать, расшифровывать и проверять PFX-файлы.
Это значительно упрощает работу с сертификатами.

Как keycred может использоваться для моделирования атак

С помощью keycred специалисты по пентестингу могут проверять уязвимости AD, имитируя следующие атаки:

Shadow Credentials

Хакеры могут добавлять альтернативные учетные данные (сертификаты) к целевой учетной записи.
Если система настроена неправильно, это может позволить злоумышленнику захватить учетную запись.

Повышение привилегий и боковое перемещение (Lateral Movement)

Добавляя KeyCredentialLink, злоумышленники могут повышать привилегии в домене и получать доступ к другим системам.

Преимущества keycred

🔹 Расширенная функциональность – по сравнению с аналогами (например, pyWhisker) keycred предлагает больше возможностей.
🔹 Соответствие стандартам – инструмент строго следует техническим спецификациям Microsoft Active Directory.
🔹 Кроссплатформенность – доступен в виде одного исполняемого файла, что облегчает его использование на разных ОС.
🔹 Гибкая работа с сертификатами – управление сертификатами без необходимости использовать сторонние инструменты (например, OpenSSL).

Сферы применения keycred

✅ Пентестинг – выявление уязвимостей в AD и моделирование атак.
✅ Инцидент-менеджмент – проверка несанкционированных изменений в атрибутах msDS-KeyCredentialLink.
✅ Администрирование – безопасное управление KeyCredentialLink в соответствии со стандартами AD.

Рекомендации по безопасности

🛡️ Регулярный аудит системы – проверяйте атрибут KeyCredentialLink на наличие подозрительных изменений.
🔑 Усиленная аутентификация – используйте двухфакторную аутентификацию (2FA) и надежные пароли.
📜 Управление сертификатами – обновляйте и храните их в защищенных хранилищах.
🎓 Обучение сотрудников – проводите тренинги по кибербезопасности для системных администраторов.
🚨 Устранение уязвимостей – выявленные проблемы с KeyCredentialLink должны немедленно устраняться.

keycred – это мощный инструмент для управления безопасностью в Active Directory. Его расширенная функциональность и строгое соответствие стандартам делают его полезным для пентестеров и системных администраторов.

Однако такие инструменты требуют осторожности при использовании, так как они могут быть эксплуатированы злоумышленниками.

Для защиты критически важных систем, таких как Active Directory, необходимо:
✅ использовать инструменты аудита,
✅ проводить регулярные проверки,
✅ повышать осведомленность персонала.

Только так можно эффективно защитить инфраструктуру от кибератак.

Служба реагирования
на инциденты кибербезопасности

Служба реагирования
на инциденты кибербезопасности

Новый инструмент для пентестинга Active Directory: управление KeyCredentialLink

Основные возможности keycred:

Методы аутентификации:

UnPAC-the-Hash:

Кроссплатформенность:

Работа с сертификатами:

Функции резервного копирования и восстановления:

Соответствие стандартам:

Поддерживаемые команды keycred:

Дополнительный инструмент pfxtool

Как keycred может использоваться для моделирования атак

Shadow Credentials

Повышение привилегий и боковое перемещение (Lateral Movement)

Преимущества keycred

Сферы применения keycred

Рекомендации по безопасности

Основные возможности keycred:

Методы аутентификации:

UnPAC-the-Hash:

Кроссплатформенность:

Работа с сертификатами:

Функции резервного копирования и восстановления:

Соответствие стандартам:

Поддерживаемые команды keycred:

Дополнительный инструмент pfxtool

Как keycred может использоваться для моделирования атак

Shadow Credentials

Повышение привилегий и боковое перемещение (Lateral Movement)

Преимущества keycred

Сферы применения keycred

Рекомендации по безопасности

Группировка CL0P Ransomware проводит масштабные атаки на телекоммуникационный и медицинский секторы

Критическая уязвимость в Apache Ignite позволяет выполнять удаленный код

Программа для кражи паролей Windows Wi-Fi обнаружена на GitHub