Golden Ticket
Golden Ticket とは何ですか?
Golden Ticketkrbtgt アカウントのハッシュで署名され、ドメイン内の任意の主体になりすませる偽造 Kerberos TGT。
Golden Ticket は、攻撃者が krbtgt アカウントのパスワードハッシュ(通常は DCSync 攻撃やドメインコントローラ侵害で取得)を用いてオフラインで偽造する TGT です。ドメイン内のすべての TGT は krbtgt の鍵で署名されるため、そのハッシュを保持している者は任意のユーザー・グループ・有効期間のチケットを発行でき、ドメインに対する永続的支配権を獲得します。MITRE ATT&CK では T1558.001(Steal or Forge Kerberos Tickets: Golden Ticket)として整理されています。対策としては、DC 侵害後の krbtgt パスワードの 2 回連続ローテーション、DCSync 権限の制限と監査、Tier-0 管理モデルの導入、有効期限が異常に長い、または論理上ありえない TGT の検出が挙げられます。
● 例
- 01
Mimikatz の kerberos::golden コマンドで、Domain Admin と偽装した架空ユーザー向けに有効期限 10 年の TGT を発行する。
- 02
侵害後の永続化:パスワードがリセットされてもゴールデンチケットでドメインに再侵入できる。
● よくある質問
Golden Ticket とは何ですか?
krbtgt アカウントのハッシュで署名され、ドメイン内の任意の主体になりすませる偽造 Kerberos TGT。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Golden Ticket とはどういう意味ですか?
krbtgt アカウントのハッシュで署名され、ドメイン内の任意の主体になりすませる偽造 Kerberos TGT。
Golden Ticket はどのように機能しますか?
Golden Ticket は、攻撃者が krbtgt アカウントのパスワードハッシュ(通常は DCSync 攻撃やドメインコントローラ侵害で取得)を用いてオフラインで偽造する TGT です。ドメイン内のすべての TGT は krbtgt の鍵で署名されるため、そのハッシュを保持している者は任意のユーザー・グループ・有効期間のチケットを発行でき、ドメインに対する永続的支配権を獲得します。MITRE ATT&CK では T1558.001(Steal or Forge Kerberos Tickets: Golden Ticket)として整理されています。対策としては、DC 侵害後の krbtgt パスワードの 2 回連続ローテーション、DCSync 権限の制限と監査、Tier-0 管理モデルの導入、有効期限が異常に長い、または論理上ありえない TGT の検出が挙げられます。
Golden Ticket からどのように防御しますか?
Golden Ticket に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- identity-access№ 584
Kerberos
対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
- defense-ops№ 682
Mimikatz
メモリーや LSASS から平文パスワード、ハッシュ、Kerberos チケットなどの認証情報を抽出する、オープンソースの Windows 用ポストエクスプロイト ツール。
- identity-access№ 013
Active Directory
マイクロソフトが提供する Windows ネットワーク向けの企業ディレクトリサービスで、ユーザー・コンピュータ・リソースに対する認証、認可、ポリシー管理を一元化する。
- attacks№ 1045
Silver Ticket
対象サービスアカウントのハッシュで偽造した Kerberos サービスチケット(TGS)で、そのサービスのみに密かにアクセスできる。
- attacks№ 791
Pass-the-Ticket
盗み出した Kerberos チケットを再利用し、パスワードを知らずにユーザーやサービスになりすます Active Directory 攻撃。
- defense-ops№ 817
永続化(Persistence)
再起動・資格情報変更・インシデント対応を経てもシステムへのアクセスを維持する手法を扱う MITRE ATT&CK 戦術(TA0003)。
● 関連項目
- № 107BloodHound