Golden Ticket
¿Qué es Golden Ticket?
Golden TicketTicket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio.
Un Golden Ticket es un TGT generado de forma offline por un atacante que posee el hash de la cuenta krbtgt, normalmente obtenido mediante un ataque DCSync o comprometiendo un controlador de dominio. Como todos los TGT del dominio se firman con krbtgt, quien posea ese hash puede emitir tickets para usuarios, grupos y periodos de validez arbitrarios, logrando dominio persistente. MITRE ATT&CK clasifica esta tecnica como T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). Las mitigaciones incluyen rotar dos veces la contrasena de krbtgt tras cualquier compromiso de DC, restringir y auditar el derecho DCSync, aplicar administracion tier-0 y detectar TGT de duracion anomala o imposibles.
● Ejemplos
- 01
Comando kerberos::golden de Mimikatz que crea un TGT de 10 anos para un usuario falso marcado como Domain Admin.
- 02
Persistencia post-compromiso que permite reentrar al dominio aunque se reseteen contrasenas.
● Preguntas frecuentes
¿Qué es Golden Ticket?
Ticket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Golden Ticket?
Ticket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio.
¿Cómo funciona Golden Ticket?
Un Golden Ticket es un TGT generado de forma offline por un atacante que posee el hash de la cuenta krbtgt, normalmente obtenido mediante un ataque DCSync o comprometiendo un controlador de dominio. Como todos los TGT del dominio se firman con krbtgt, quien posea ese hash puede emitir tickets para usuarios, grupos y periodos de validez arbitrarios, logrando dominio persistente. MITRE ATT&CK clasifica esta tecnica como T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). Las mitigaciones incluyen rotar dos veces la contrasena de krbtgt tras cualquier compromiso de DC, restringir y auditar el derecho DCSync, aplicar administracion tier-0 y detectar TGT de duracion anomala o imposibles.
¿Cómo defenderse de Golden Ticket?
Las defensas contra Golden Ticket combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 584
Kerberos
Protocolo de autenticación de red basado en tickets que utiliza criptografía simétrica y un Centro de Distribución de Claves de confianza para ofrecer inicio de sesión único seguro.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- attacks№ 1045
Silver Ticket
Ticket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio.
- attacks№ 791
Pass-the-Ticket
Ataque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena.
- defense-ops№ 817
Persistencia
Táctica MITRE ATT&CK (TA0003) que agrupa las técnicas con las que un atacante mantiene el acceso al sistema tras reinicios, cambios de credenciales y respuesta a incidentes.
● Véase también
- № 107BloodHound