Pass-the-Ticket
Pass-the-Ticket とは何ですか?
Pass-the-Ticket盗み出した Kerberos チケットを再利用し、パスワードを知らずにユーザーやサービスになりすます Active Directory 攻撃。
Pass-the-Ticket(PtT)は Kerberos の仕組みを悪用し、既に盗み出した TGT やサービスチケットを現在のログオンセッションに注入することで、本来のプリンシパルとしてリソースへアクセスします。攻撃者は Mimikatz や Rubeus を用いて LSASS メモリや侵害ホスト上の kirbi ファイルからチケットを抽出し、別マシン上に注入して SMB 共有、MSSQL、ドメインコントローラへ認証します。MITRE ATT&CK では T1550.003(Use Alternate Authentication Material: Pass the Ticket)として整理されています。対策には Credential Guard の有効化、チケット有効期限の短縮、特権アカウントの Protected Users グループ登録、Kerberos イベントの監視、Mimikatz 様のメモリアクセス検出があります。
● 例
- 01
端末からドメイン管理者の TGT を窃取し、攻撃機からドメインコントローラへ接続する。
- 02
Rubeus でチケットをエクスポートし、攻撃者の端末に注入して AD を照会する。
● よくある質問
Pass-the-Ticket とは何ですか?
盗み出した Kerberos チケットを再利用し、パスワードを知らずにユーザーやサービスになりすます Active Directory 攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Pass-the-Ticket とはどういう意味ですか?
盗み出した Kerberos チケットを再利用し、パスワードを知らずにユーザーやサービスになりすます Active Directory 攻撃。
Pass-the-Ticket からどのように防御しますか?
Pass-the-Ticket に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Pass-the-Ticket の別名は何ですか?
一般的な別名: PtT。