Silver Ticket
Was ist Silver Ticket?
Silver TicketMit dem Hash eines bestimmten Dienstkontos gefaelschtes Kerberos-Service-Ticket (TGS), das stillen Zugriff auf genau diesen Dienst gewaehrt.
Ein Silver Ticket ist ein offline erzeugtes TGS, das aus dem NTLM- oder AES-Hash eines konkreten Dienstkontos (z. B. SQL Server, IIS, CIFS) gebaut wird. Da das Ticket vom Dienstkonto selbst und nicht von krbtgt signiert ist, spricht der Angreifer nie mit dem KDC, weshalb am Domain Controller keine Kerberos-Authentifizierungsereignisse auflaufen. Innerhalb der Ticket-Laufzeit kann er als beliebiger Benutzer, inkl. privilegierter Konten, auf genau diesen Dienst zugreifen. MITRE ATT&CK fuehrt dies als T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Schutzmassnahmen umfassen starke Service-Account-Passwoerter (gMSA), reines AES-Kerberos, PAC-Validierung und Monitoring der dienstseitigen Auth-Logs.
● Beispiele
- 01
Erzeugen eines Silver Ticket fuer den MSSQL-Dienst eines DB-Servers, um Daten als Admin abzufragen.
- 02
Forgen eines CIFS-Silver-Tickets, um Dateien einer sensiblen Freigabe ohne DC-Kontakt zu lesen.
● Häufige Fragen
Was ist Silver Ticket?
Mit dem Hash eines bestimmten Dienstkontos gefaelschtes Kerberos-Service-Ticket (TGS), das stillen Zugriff auf genau diesen Dienst gewaehrt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Silver Ticket?
Mit dem Hash eines bestimmten Dienstkontos gefaelschtes Kerberos-Service-Ticket (TGS), das stillen Zugriff auf genau diesen Dienst gewaehrt.
Wie funktioniert Silver Ticket?
Ein Silver Ticket ist ein offline erzeugtes TGS, das aus dem NTLM- oder AES-Hash eines konkreten Dienstkontos (z. B. SQL Server, IIS, CIFS) gebaut wird. Da das Ticket vom Dienstkonto selbst und nicht von krbtgt signiert ist, spricht der Angreifer nie mit dem KDC, weshalb am Domain Controller keine Kerberos-Authentifizierungsereignisse auflaufen. Innerhalb der Ticket-Laufzeit kann er als beliebiger Benutzer, inkl. privilegierter Konten, auf genau diesen Dienst zugreifen. MITRE ATT&CK fuehrt dies als T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Schutzmassnahmen umfassen starke Service-Account-Passwoerter (gMSA), reines AES-Kerberos, PAC-Validierung und Monitoring der dienstseitigen Auth-Logs.
Wie schützt man sich gegen Silver Ticket?
Schutzmaßnahmen gegen Silver Ticket kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 584
Kerberos
Ticket-basiertes Netzwerk-Authentifizierungsprotokoll, das mit symmetrischer Kryptografie und einem vertrauenswürdigen Key Distribution Center sicheres Single Sign-On ermöglicht.
- attacks№ 447
Golden Ticket
Gefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren.
- attacks№ 791
Pass-the-Ticket
Active-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- attacks№ 583
Kerberoasting
Offline-Passwortangriff, der Kerberos-Service-Tickets fuer Dienstkonten anfordert und den verschluesselten Teil knackt, um deren Klartext-Passwoerter zu gewinnen.