Pass-the-Ticket
Was ist Pass-the-Ticket?
Pass-the-TicketActive-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen.
Pass-the-Ticket (PtT) missbraucht Kerberos, indem ein zuvor gestohlenes TGT oder Service-Ticket in die aktuelle Logon-Sitzung injiziert und damit auf Ressourcen unter der Identitaet des urspruenglichen Prinzipals zugegriffen wird. Tickets werden meist mit Mimikatz oder Rubeus aus dem LSASS-Speicher oder aus kirbi-Dateien kompromittierter Hosts gewonnen und dann auf einer anderen Maschine injiziert, um sich an SMB-Freigaben, MSSQL oder Domaenencontrollern zu authentifizieren. MITRE ATT&CK fuehrt das Verfahren als T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Schutz bieten Credential Guard, kurze Ticket-Lifetimes, die Protected-Users-Gruppe fuer privilegierte Konten, Kerberos-Eventueberwachung und das Erkennen von Mimikatz-typischen Speicherzugriffen.
● Beispiele
- 01
Diebstahl des TGT eines Domain-Admins von einer Workstation und Wiederverwendung am Domain Controller.
- 02
Export von Tickets mit Rubeus und Injektion auf einem Angreifer-Host, um das AD abzufragen.
● Häufige Fragen
Was ist Pass-the-Ticket?
Active-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Pass-the-Ticket?
Active-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen.
Wie funktioniert Pass-the-Ticket?
Pass-the-Ticket (PtT) missbraucht Kerberos, indem ein zuvor gestohlenes TGT oder Service-Ticket in die aktuelle Logon-Sitzung injiziert und damit auf Ressourcen unter der Identitaet des urspruenglichen Prinzipals zugegriffen wird. Tickets werden meist mit Mimikatz oder Rubeus aus dem LSASS-Speicher oder aus kirbi-Dateien kompromittierter Hosts gewonnen und dann auf einer anderen Maschine injiziert, um sich an SMB-Freigaben, MSSQL oder Domaenencontrollern zu authentifizieren. MITRE ATT&CK fuehrt das Verfahren als T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Schutz bieten Credential Guard, kurze Ticket-Lifetimes, die Protected-Users-Gruppe fuer privilegierte Konten, Kerberos-Eventueberwachung und das Erkennen von Mimikatz-typischen Speicherzugriffen.
Wie schützt man sich gegen Pass-the-Ticket?
Schutzmaßnahmen gegen Pass-the-Ticket kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Pass-the-Ticket?
Übliche alternative Bezeichnungen: PtT.
● Verwandte Begriffe
- identity-access№ 584
Kerberos
Ticket-basiertes Netzwerk-Authentifizierungsprotokoll, das mit symmetrischer Kryptografie und einem vertrauenswürdigen Key Distribution Center sicheres Single Sign-On ermöglicht.
- attacks№ 790
Pass-the-Hash
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.
- attacks№ 447
Golden Ticket
Gefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren.
- attacks№ 1045
Silver Ticket
Mit dem Hash eines bestimmten Dienstkontos gefaelschtes Kerberos-Service-Ticket (TGS), das stillen Zugriff auf genau diesen Dienst gewaehrt.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.