Golden Ticket
Was ist Golden Ticket?
Golden TicketGefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren.
Ein Golden Ticket ist ein offline erzeugtes TGT, das ein Angreifer mit dem Passworthash des krbtgt-Kontos baut, typischerweise gewonnen ueber DCSync oder die Kompromittierung eines Domain Controllers. Da alle TGTs einer Domain mit dem krbtgt-Schluessel signiert sind, kann jemand mit diesem Hash beliebige Tickets fuer beliebige Benutzer, Gruppen und Laufzeiten ausstellen und damit dauerhaft die Domain dominieren. MITRE ATT&CK fuehrt das als T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). Gegenmassnahmen sind die doppelte Rotation des krbtgt-Passworts nach jeder DC-Kompromittierung, das Einschraenken und Auditieren von DCSync-Rechten, Tier-0-Administration und das Aufspueren ungewoehnlich langer oder unplausibler TGTs.
● Beispiele
- 01
Mimikatz-Kommando kerberos::golden erzeugt ein 10-Jahre-TGT fuer einen fiktiven Benutzer als Domain Admin.
- 02
Persistenz nach Kompromittierung, mit der die Domain trotz Passwortreset wieder betreten werden kann.
● Häufige Fragen
Was ist Golden Ticket?
Gefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Golden Ticket?
Gefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren.
Wie funktioniert Golden Ticket?
Ein Golden Ticket ist ein offline erzeugtes TGT, das ein Angreifer mit dem Passworthash des krbtgt-Kontos baut, typischerweise gewonnen ueber DCSync oder die Kompromittierung eines Domain Controllers. Da alle TGTs einer Domain mit dem krbtgt-Schluessel signiert sind, kann jemand mit diesem Hash beliebige Tickets fuer beliebige Benutzer, Gruppen und Laufzeiten ausstellen und damit dauerhaft die Domain dominieren. MITRE ATT&CK fuehrt das als T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). Gegenmassnahmen sind die doppelte Rotation des krbtgt-Passworts nach jeder DC-Kompromittierung, das Einschraenken und Auditieren von DCSync-Rechten, Tier-0-Administration und das Aufspueren ungewoehnlich langer oder unplausibler TGTs.
Wie schützt man sich gegen Golden Ticket?
Schutzmaßnahmen gegen Golden Ticket kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 584
Kerberos
Ticket-basiertes Netzwerk-Authentifizierungsprotokoll, das mit symmetrischer Kryptografie und einem vertrauenswürdigen Key Distribution Center sicheres Single Sign-On ermöglicht.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- attacks№ 1045
Silver Ticket
Mit dem Hash eines bestimmten Dienstkontos gefaelschtes Kerberos-Service-Ticket (TGS), das stillen Zugriff auf genau diesen Dienst gewaehrt.
- attacks№ 791
Pass-the-Ticket
Active-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen.
- defense-ops№ 817
Persistence
MITRE-ATT&CK-Taktik (TA0003), die Techniken bündelt, mit denen Angreifer ihren Zugang trotz Reboots, Passwortwechsel und Incident-Response behalten.
● Siehe auch
- № 107BloodHound