Golden Ticket
Qu'est-ce que Golden Ticket ?
Golden TicketTGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.
Un Golden Ticket est un TGT genere hors ligne par un attaquant qui detient le hash du compte krbtgt, generalement obtenu via une attaque DCSync ou la compromission d'un controleur de domaine. Comme tous les TGT du domaine sont signes par krbtgt, qui possede ce hash peut emettre des tickets pour n'importe quel utilisateur, groupe et duree, assurant une domination persistante du domaine. MITRE ATT&CK suit la technique sous T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). Les mitigations incluent une double rotation du mot de passe krbtgt apres tout compromis de DC, la restriction et l'audit du droit DCSync, une administration tier-0 et la detection de TGT a duree anormale ou impossible.
● Exemples
- 01
Commande kerberos::golden de Mimikatz creant un TGT de 10 ans pour un utilisateur fictif marque Domain Admin.
- 02
Persistance post-compromis permettant de revenir dans le domaine meme apres reinitialisation des mots de passe.
● Questions fréquentes
Qu'est-ce que Golden Ticket ?
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Golden Ticket ?
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.
Comment fonctionne Golden Ticket ?
Un Golden Ticket est un TGT genere hors ligne par un attaquant qui detient le hash du compte krbtgt, generalement obtenu via une attaque DCSync ou la compromission d'un controleur de domaine. Comme tous les TGT du domaine sont signes par krbtgt, qui possede ce hash peut emettre des tickets pour n'importe quel utilisateur, groupe et duree, assurant une domination persistante du domaine. MITRE ATT&CK suit la technique sous T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). Les mitigations incluent une double rotation du mot de passe krbtgt apres tout compromis de DC, la restriction et l'audit du droit DCSync, une administration tier-0 et la detection de TGT a duree anormale ou impossible.
Comment se défendre contre Golden Ticket ?
Les défenses contre Golden Ticket combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 584
Kerberos
Protocole d'authentification réseau à base de tickets utilisant la cryptographie symétrique et un Centre de Distribution de Clés de confiance pour offrir une authentification unique sécurisée.
- defense-ops№ 682
Mimikatz
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- attacks№ 1045
Silver Ticket
Ticket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service.
- attacks№ 791
Pass-the-Ticket
Attaque sur Active Directory qui rejoue un ticket Kerberos derobe afin d'usurper l'identite d'un utilisateur ou d'un service sans connaitre son mot de passe.
- defense-ops№ 817
Persistance
Tactique MITRE ATT&CK (TA0003) regroupant les techniques permettant à un attaquant de conserver son accès au système malgré reboots, changements de mots de passe et réponse à incident.
● Voir aussi
- № 107BloodHound