Skip to content
[ root@retasan:~# Thursday, Jul 16, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Tools Cyberwarfare Data Breach Iklan
Tools

Klist2ccache: Ekstraksi TGT Kerberos Remote dan Konversi ke Format ccache

// by retasan-news July 8, 2026 5 min read
Klist2ccache Kerberos TGT Extraction Remote

Sebuah tool baru bernama klist2ccache dirilis untuk memanfaatkan kelemahan pada Windows klist.exe — binary built-in Microsoft yang ternyata dapat dieksploitasi untuk mengekstrak Ticket Granting Ticket (TGT) Kerberos dari logon session lain tanpa memerlukan hak akses SeTcbPrivilege. Tool ini mengonversi output klist ke format ccache yang dapat langsung digunakan dengan impacket dan tooling Kerberos Linux lainnya, termasuk kemampuan ekstraksi remote melalui WinRM dan SMB.

Apa yang Terjadi?

Jake Otte, peneliti keamanan di balik proyek ini, menemukan bahwa klist.exe tgt — binary LOLBins Windows — dapat digunakan untuk mengekstrak session key dari TGT milik logon session lain. Temuan kuncinya adalah bahwa meskipun non-SYSTEM user tidak dapat mengekstrak session key dari logon session mereka sendiri, mereka SAINGAN mengekstrak session key dari logon session pengguna lain di mesin yang sama. Ini karena LSA (Local Security Authority) hanya memblokir ekstraksi untuk LUID yang sama dengan caller, bukan untuk seluruh sistem.

Berdasarkan temuan ini, tiga tool dikembangkan: klist2ccache untuk konversi lokal output klist ke format ccache, klistremote untuk ekstraksi remote melalui Task Scheduler dan SMB, serta klistwinrm untuk ekstraksi remote melalui WinRM. Ketiga tool mendukung berbagai metode autentikasi termasuk password, pass-the-hash, Kerberos ccache, aesKey, dan keytab.

Detail Teknis

Mekanisme inti exploit ini berada pada panggilan LsaCallAuthenticationPackage di dalam handler tgt pada klist.exe. Ketika caller menentukan LUIDtujuan (melalui flag -li) yang berbeda dari LUID milik caller sendiri, LSA akan menyediakan session key yang lengkap dan tidak terenkripsi. Namun, jika caller menargetkan LUID sendiri, proses RtlAdjustPrivilege untuk SeTcbPrivilege dan SeImpersonatePrivilege dipanggil, dan LSA menolak memberikan session key yang valid.

Aspek penting lainnya adalah deteksi Credential Guard. Pada sistem dengan Credential Guard aktif, klist.exe tgt -li mengembalikan session key yang tampaknya valid, namun sebenarnya adalah blob KerberosKeyWithMetadata yang terenkripsi dan dilindungi di dalam secure kernel (VTL1). Unwrap key tidak pernah meninggalkan VTL1, sehingga session key yang dapat digunakan tidak dapat dipulihkan secara offline. Tool ini mendeteksi kondisi ini dan menolak untuk menghasilkan ccache yang tidak valid, mencegah error KRB_AP_ERR_BAD_INTEGRITY yang membingungkan.

Mode klistremote menggunakan Task Scheduler untuk menjalankan klist pada target, menulis output ke file sementara di C:\ProgramData\, membacanya melalui SMB, lalu menghapus file tersebut. Mode alternatif -named-pipes mengalirkan output melalui SMB IPC$ tanpa menulis file ke disk. klistwinrm melakukan hal yang sama melalui WinRM (port 5985/5986) sepenuhnya in-memory tanpa koneksi SMB.

Dampak Terhadap Indonesia

Sebagian besar infrastruktur Active Directory di Indonesia — dari bank, BUMN, hingga instansi pemerintah — berjalan pada lingkungan Windows yang berpotensi rentan terhadap teknik ekstraksi TGT ini. Dengan adanya kemampuan ekstraksi remote melalui WinRM yang tidak memerlukan SeTcbPrivilege, tingkat risikonya menjadi jauh lebih tinggi karena WinRM seringkali diaktifkan di lingkungan enterprise untuk kebutuhan remote management.

Banyak organisasi di Indonesia yang belum mengaktifkan Credential Guard meskipun menggunakan versi Windows yang mendukungnya, terutama karena kekhawatiran terhadap kompatibilitas aplikasi. Tanpa Credential Guard, seluruh TGT di sistem menjadi rentan terhadap ekstraksi. Tim keamanan siber Indonesia perlu mempertimbangkan untuk mengaktifkan Credential Guard pada workstation dan server kritis, serta membatasi akses WinRM hanya bagi admin yang terverifikasi. Audit konfigurasi Kerberos dan Active Directory harus menjadi bagian dari program keamanan siber rutin di setiap organisasi.

Rekomendasi Mitigasi

Aktifkan Credential Guard pada seluruh sistem Windows yang mendukungnya — ini adalah pertahanan paling efektif terhadap teknik ekstraksi TGT ini. Batasi akses WinRM hanya bagi administrator yang membutuhkan, dan implementasikan network-level authentication (NLA). Audit penggunaan Task Scheduler pada sistem kritis untuk mendeteksi aktivitas scheduling yang mencurigakan. Implementasikan monitoring terhadap akses ke klist.exe dan klist.exe tgt melalui Sysmon atau Windows Event Forwarding. Gunakan Windows Event ID 4688 untuk memantau eksekusi klist.exe dengan parameter tgt dan -li. Pertimbangkan untuk menghapus atau membatasi akses ke klist.exe pada sistem yang tidak membutuhkannya.

Analisa Retasan

Temuan Jake Otte tentang ekstraksi TGT melalui klist.exe adalah contoh sempurna dari abuse terhadap LOLBins (Living Off the Land Binaries) yang semakin berkembang. Yang membuat temuan ini signifikan adalah kesalahpahaman umum bahwa SeTcbPrivilege diperlukan untuk mengekstrak session key secara non-zero. Analisis Ghidra yang dilakukan oleh Jake mengungkap bahwa perbandingan LUID di dalam kode klist.exe hanya memblokir ekstraksi untuk LUID yang sama dengan caller — sebuah pembatasan yang sangat sempit dan dieksploitasi dengan mudah. Ini mengingatkan pada pola serupa dalam abuse Rubeus tgtdeleg yang juga mengeksploitasi ambiguitas pada validasi LUID dalam LSASS.

Implikasi dari penemuan ini sangat luas. Dalam lingkungan Active Directory, TGT adalah tiket emas yang memungkinkan akses lateral ke seluruh layanan yang dilindungi Kerberos. Dengan kemampuan mengekstrak TGT dari logon session pengguna lain — termasuk machine account dengan LUID 0x3e4 — seorang penyerang dapat melakukan passthe-ticket ke layanan seperti SMB, LDAP, WinRM, dan lainnya tanpa perlu mengetahui password. Mode remote yang menggunakan WinRM tanpa file write ke disk membuat deteksi menjadi jauh lebih sulit karena tidak ada artefak file yang tertinggal di target.

Deteksi Credential Guard yang terintegrasi dalam klist2ccache menunjukkan pemahaman mendalam penulis tool terhadap batasan teknis. Credential Guard dengan VTL1 isolation memang dirancang untuk melindungi credential material dari akses kernel, dan tool ini mengakui batasan tersebut alih-alih mencoba bypass yang berisiko menghasilkan data tidak valid. Untuk organisasi Indonesia, ini menjadi pengingat bahwa Credential Guard bukan lagi fitur opsional — ia adalah pertahanan fundamental yang harus diaktifkan pada setiap sistem yang menjalankan Active Directory. Tanpa Credential Guard, seluruh TGT di dalam memory sistem menjadi target yang sangat menarik bagi penyerang.

Sumber: GitHub – jakeotte/klist2ccache | Blog: klist.exe Revisited

Tags: Active Directory ccache Credential Guard impacket Kerberos Red Team TGT WinRM
Share:

retasan-news

← Previous Linux LPE Toolkit: 24 Exploit Privilege Escalation Multi-Arsitektur untuk Linux
Next → Pasar Monetisasi Vulnerability: Dari Bug Bounty Legal hingga Dark Web Marketplace -- Analisa Lengkap Riset Positive Technologies

Artikel Terkait

Endgame: Framework C2 AI-Powered untuk Red Team Profesional

Endgame: Framework C2 AI-Powered untuk Red Team Profesional

July 16, 2026
COMLoaderAstharot: COM Hijack CLSID untuk Persistensi di Chrome dan Edge

COMLoaderAstharot: COM Hijack CLSID untuk Persistensi di Chrome dan Edge

July 15, 2026
klist2ccache: Dump TGT Kerberos Secara Remote dan Konversi ke Format ccache

klist2ccache: Dump TGT Kerberos Secara Remote dan Konversi ke Format ccache

July 15, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.