Silver Ticket
Silver Ticket とは何ですか?
Silver Ticket対象サービスアカウントのハッシュで偽造した Kerberos サービスチケット(TGS)で、そのサービスのみに密かにアクセスできる。
Silver Ticket は、特定のサービスアカウント(例えば SQL Server、IIS、CIFS)の NTLM もしくは AES ハッシュを用いてオフラインで偽造する TGS です。チケットは krbtgt ではなくそのサービスアカウント自身で署名されるため、攻撃者は KDC と一切通信せず、ドメインコントローラに Kerberos 認証イベントが残りません。チケットの有効期間中、攻撃者は特権ユーザを含む任意のユーザとしてそのサービスにアクセスできます。MITRE ATT&CK では T1558.002(Steal or Forge Kerberos Tickets: Silver Ticket)として分類されます。対策としては gMSA による強固なサービスアカウントパスワード、AES のみの Kerberos、PAC 検証、サービス側の認証ログ監視があります。
● 例
- 01
DB サーバの MSSQL サービス向けに Silver Ticket を偽造し、管理者として SQL を実行する。
- 02
CIFS の Silver Ticket を偽造し、DC と通信せずに機密共有のファイルを読み取る。
● よくある質問
Silver Ticket とは何ですか?
対象サービスアカウントのハッシュで偽造した Kerberos サービスチケット(TGS)で、そのサービスのみに密かにアクセスできる。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Silver Ticket とはどういう意味ですか?
対象サービスアカウントのハッシュで偽造した Kerberos サービスチケット(TGS)で、そのサービスのみに密かにアクセスできる。
Silver Ticket はどのように機能しますか?
Silver Ticket は、特定のサービスアカウント(例えば SQL Server、IIS、CIFS)の NTLM もしくは AES ハッシュを用いてオフラインで偽造する TGS です。チケットは krbtgt ではなくそのサービスアカウント自身で署名されるため、攻撃者は KDC と一切通信せず、ドメインコントローラに Kerberos 認証イベントが残りません。チケットの有効期間中、攻撃者は特権ユーザを含む任意のユーザとしてそのサービスにアクセスできます。MITRE ATT&CK では T1558.002(Steal or Forge Kerberos Tickets: Silver Ticket)として分類されます。対策としては gMSA による強固なサービスアカウントパスワード、AES のみの Kerberos、PAC 検証、サービス側の認証ログ監視があります。
Silver Ticket からどのように防御しますか?
Silver Ticket に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- identity-access№ 584
Kerberos
対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
- attacks№ 447
Golden Ticket
krbtgt アカウントのハッシュで署名され、ドメイン内の任意の主体になりすませる偽造 Kerberos TGT。
- attacks№ 791
Pass-the-Ticket
盗み出した Kerberos チケットを再利用し、パスワードを知らずにユーザーやサービスになりすます Active Directory 攻撃。
- defense-ops№ 682
Mimikatz
メモリーや LSASS から平文パスワード、ハッシュ、Kerberos チケットなどの認証情報を抽出する、オープンソースの Windows 用ポストエクスプロイト ツール。
- identity-access№ 013
Active Directory
マイクロソフトが提供する Windows ネットワーク向けの企業ディレクトリサービスで、ユーザー・コンピュータ・リソースに対する認証、認可、ポリシー管理を一元化する。
- attacks№ 583
Kerberoasting
サービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分をオフラインで解析して平文パスワードを取り出すオフラインパスワード攻撃。