Nel precedente articolo abbiamo raccontato la nuova frontiera dell’abuso dei token e il punto cieco degli EDR moderni, oggi vogliamo scendere nei dettagli del primo software SpecterBroker, uno Strumento avanzato di estrazione e decrittazione dei token di autenticazione di Windows,
nato dal prezioso lavoro di @Mohammed Bellala.
Panoramica
SpecterBroker è uno strumento completo di post-sfruttamento progettato da Mohammed Bellala per estrarre e decrittografare i token di autenticazione di Windows da più fonti. Si rivolge a Windows Authentication Manager (WAM), Token Broker cache (TBR) e ai relativi sottosistemi di autenticazione per recuperare token di accesso, token di aggiornamento, token ID e token NGC (credenziali di nuova generazione). Lo strumento genera file JSON che possono essere importati nello strumento SpecterPortal per gestire completamente gli ambienti EntraID e le risorse di Azure!
SpecterBroker è progettato specificamente per:
- Operazioni del Red Team: estrazione di token durante i test di penetrazione autorizzati
- Ricerca sulla sicurezza: comprendere i meccanismi di autenticazione di Windows
- Analisi DFIR: indagine forense sugli artefatti di autenticazione
- Scopi educativi: conoscere l’archiviazione delle credenziali di Windows
Cosa rende speciale SpecterBroker?
Estrazione unificata:
combina più tecniche di estrazione di token in un unico strumento
Decrittazione DPAPI:
decrittazione automatica delle cache dei token protetti utilizzando Windows DPAPI
Formati multipli:
supporta sia i formati di cache TBR che WAM
Rilevamento FOCI:
identifica i token abilitati per la famiglia di ID client (FOCI)
Estrazione dei metadati:
recupera UPN, ID tenant, ID client, ambiti e dati di scadenza
Token master di Office:
rileva token master di Office 365 di alto valore
Caratteristiche di SpecterBroker
Capacità principali
Funzionalità avanzate
✅ Estrazione della cache TBRes: decifra i file .tbres dalla cache di TokenBroker
✅ Estrazione della cache WAM – Elabora i dati di autenticazione memorizzati nella cache di AAD BrokerPlugin
✅ Decrittazione DPAPI: sfrutta Windows DPAPI per la decrittazione automatica dei token
✅ Analisi JWT: estrae e analizza i token Web JSON (token di accesso e ID)
✅ Estrazione token di aggiornamento: recupera i token di aggiornamento Microsoft v1 (1.Formato AV0A)
✅ Supporto token NGC – Estrae token credenziali di nuova generazione
✅ Rilevamento FOCI: identifica la famiglia di applicazioni abilitate agli ID client
✅ Arricchimento dei metadati: estrae UPN, ID tenant, ID client, ambiti, scadenza
🔍 Deduplicazione automatica: deduplicazione intelligente dei token tra i file della cache
📊 Uscita JSON compatibile con SpecterPortal – File JSON che possono essere importati nello strumento SpecterPortal
⏱️ Filtraggio delle scadenze: salta automaticamente i token di accesso scaduti
🎯 Rilevamento Office Master – Segnala token master Office 365 di alto valore
📁 Elaborazione ricorsiva: scansiona intere strutture di directory della cache
🔐 Ambito utente locale: funziona con il contesto utente corrente (non è richiesta alcuna elevazione)
LEGGERE ATTENTAMENTE:
questo strumento è fornito esclusivamente a scopo didattico e per test di sicurezza autorizzati.
Avviso legale
✅ Solo per uso autorizzato: utilizzare solo su sistemi di tua proprietà o per i quali hai un’autorizzazione scritta esplicita per effettuare il test.
❌ Accesso non autorizzato: l’utilizzo di questo strumento senza la dovuta autorizzazione potrebbe violare le leggi del tuo Paese.
Linee guida etiche
Utilizzando questo strumento, accetti di:
Utilizzare solo su sistemi autorizzati durante impegni legittimi del Red Team o Penetration Test
Ottenere un’autorizzazione scritta adeguata prima di qualsiasi test di sicurezza
Gestire le credenziali estratte in modo responsabile ed eliminarle in modo sicuro dopo il test
Non utilizzare per scopi dannosi, tra cui accesso non autorizzato, furto di dati o compromissione del sistema
Rispetta tutte le leggi e i regolamenti applicabili nella tua giurisdizione.
Limitazione di responsabilità
Gli autori e i collaboratori:
Forniscono questo strumento “COSÌ COM’È” senza garanzia di alcun tipo
NON sono responsabili per eventuali usi impropri o danni causati da questo strumento
NON sostengono o promuovono alcuna attività non autorizzata o illegale
Non si assumono alcuna responsabilità per eventuali conseguenze legali di un uso improprio
Se vuoi imparare personalmente come funzionano le tecniche di attacco avanzato, come si costruiscono tool utili alla protezione delle aziende e come si ragiona davvero da Red Teamer, scopri la nostra Academy:
Se invece vuoi valutare la sicurezza della tua azienda, approfondire tutti i nostri servizi, avere maggiori informazioni su di noi, contatta il nostro team, scrivi una mail a: