Silver Ticket
Silver Ticket とは何ですか?
Silver Ticket対象サービスアカウントのハッシュで偽造した Kerberos サービスチケット(TGS)で、そのサービスのみに密かにアクセスできる。
Silver Ticket は、特定のサービスアカウント(例えば SQL Server、IIS、CIFS)の NTLM もしくは AES ハッシュを用いてオフラインで偽造する TGS です。チケットは krbtgt ではなくそのサービスアカウント自身で署名されるため、攻撃者は KDC と一切通信せず、ドメインコントローラに Kerberos 認証イベントが残りません。チケットの有効期間中、攻撃者は特権ユーザを含む任意のユーザとしてそのサービスにアクセスできます。MITRE ATT&CK では T1558.002(Steal or Forge Kerberos Tickets: Silver Ticket)として分類されます。対策としては gMSA による強固なサービスアカウントパスワード、AES のみの Kerberos、PAC 検証、サービス側の認証ログ監視があります。
● 例
- 01
DB サーバの MSSQL サービス向けに Silver Ticket を偽造し、管理者として SQL を実行する。
- 02
CIFS の Silver Ticket を偽造し、DC と通信せずに機密共有のファイルを読み取る。
● よくある質問
Silver Ticket とは何ですか?
対象サービスアカウントのハッシュで偽造した Kerberos サービスチケット(TGS)で、そのサービスのみに密かにアクセスできる。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Silver Ticket とはどういう意味ですか?
対象サービスアカウントのハッシュで偽造した Kerberos サービスチケット(TGS)で、そのサービスのみに密かにアクセスできる。
Silver Ticket からどのように防御しますか?
Silver Ticket に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。