Golden Ticket
O que é Golden Ticket?
Golden TicketTGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.
Um Golden Ticket e um TGT gerado offline por um atacante que possui o hash da conta krbtgt, normalmente obtido atraves de um ataque DCSync ou da compromissao de um controlador de dominio. Como todos os TGTs do dominio sao assinados pelo krbtgt, quem detiver esse hash pode emitir tickets para qualquer utilizador, grupo e duracao, conseguindo dominio persistente. O MITRE ATT&CK classifica a tecnica como T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). As mitigacoes incluem rodar a palavra-passe do krbtgt duas vezes apos qualquer compromisso de DC, restringir e auditar o direito DCSync, aplicar administracao tier-0 e detetar TGTs com duracoes anomalas ou impossiveis.
● Exemplos
- 01
Comando kerberos::golden do Mimikatz a criar um TGT de 10 anos para um utilizador falso marcado como Domain Admin.
- 02
Persistencia pos-compromisso, permitindo voltar a entrar no dominio mesmo depois de reset de palavras-passe.
● Perguntas frequentes
O que é Golden Ticket?
TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Golden Ticket?
TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.
Como funciona Golden Ticket?
Um Golden Ticket e um TGT gerado offline por um atacante que possui o hash da conta krbtgt, normalmente obtido atraves de um ataque DCSync ou da compromissao de um controlador de dominio. Como todos os TGTs do dominio sao assinados pelo krbtgt, quem detiver esse hash pode emitir tickets para qualquer utilizador, grupo e duracao, conseguindo dominio persistente. O MITRE ATT&CK classifica a tecnica como T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). As mitigacoes incluem rodar a palavra-passe do krbtgt duas vezes apos qualquer compromisso de DC, restringir e auditar o direito DCSync, aplicar administracao tier-0 e detetar TGTs com duracoes anomalas ou impossiveis.
Como se defender contra Golden Ticket?
As defesas contra Golden Ticket costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 584
Kerberos
Protocolo de autenticação de rede baseado em tickets que utiliza criptografia simétrica e um Centro de Distribuição de Chaves confiável para oferecer SSO seguro entre serviços.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- attacks№ 1045
Silver Ticket
Ticket de servico Kerberos (TGS) forjado com o hash de uma conta de servico alvo, concedendo acesso silencioso apenas a esse servico.
- attacks№ 791
Pass-the-Ticket
Ataque ao Active Directory que reutiliza um ticket Kerberos roubado para se fazer passar por um utilizador ou servico sem conhecer a palavra-passe.
- defense-ops№ 817
Persistência
Tática MITRE ATT&CK (TA0003) que reúne técnicas usadas para manter acesso ao sistema apesar de reinicializações, mudanças de credenciais e resposta a incidentes.
● Veja também
- № 107BloodHound