Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 500

Golden Ticket

Revisado porCybersecurity entrepreneur & security researcher

O que é Golden Ticket?

Golden TicketTGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.


Um Golden Ticket e um TGT gerado offline por um atacante que obteve o hash da palavra-passe da conta krbtgt, normalmente atraves de um ataque de replicacao DCSync ou da compromissao de um controlador de dominio. Como todos os TGTs do dominio sao assinados pelo krbtgt, quem detiver esse hash pode emitir tickets para utilizadores, grupos e periodos de validade arbitrarios, conseguindo dominio persistente sobre o dominio. O MITRE ATT&CK classifica a tecnica como T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket).

A falsificacao funciona porque um controlador de dominio nao verifica um TGT que emitiu contra qualquer estado do lado do servidor: confia que um TGT desencriptavel com a chave krbtgt e autentico e le o PAC (Privilege Attribute Certificate) embutido para decidir a pertenca a grupos. Um atacante pode assim injetar SIDs arbitrarios, como o grupo Enterprise Admins (RID 519), diretamente no PAC. O patch MS14-068 da Microsoft (CVE-2014-6324) reforcou a validacao da assinatura do PAC contra uma falsificacao relacionada em que um utilizador de baixo privilegio forjava um PAC sem o hash krbtgt; um Golden Ticket genuino continua a funcionar pos-patch porque e assinado com a chave krbtgt real.

Como o krbtgt e uma conta de servico cuja palavra-passe quase nunca muda, um unico ticket pode permanecer valido durante anos e sobrevive a reset completo das credenciais de todos os outros utilizadores, um truque de persistencia favorito da era NotPetya e dos APTs. A unica remocao fiavel e rodar a palavra-passe do krbtgt duas vezes seguidas (a conta retem a chave atual e a anterior), o que invalida todos os tickets em circulacao.

flowchart TD
  A[Comprometer controlador de dominio] --> B[Extrair hash krbtgt<br/>via DCSync ou dump LSASS]
  B --> C[Forjar TGT offline<br/>mimikatz kerberos::golden]
  C --> D[Injetar SIDs privilegiados no PAC<br/>ex. Domain / Enterprise Admins]
  D --> E[Pass-the-Ticket numa sessao de logon]
  E --> F[Pedir tickets de servico para qualquer recurso]
  F --> G[Dominio persistente sobre o dominio]
  H[Rodar krbtgt duas vezes + auditar DCSync] -.defende.-> B

As mitigacoes incluem rodar a palavra-passe do krbtgt duas vezes apos qualquer compromisso de DC, restringir e auditar os direitos de DCSync (replicacao de diretorio), implantar administracao tier-0 e cacar tickets anomalos: duracoes absurdamente longas, contas sem AS-REQ precedente, ou pedidos do evento 4769 para utilizadores que nunca realizaram um logon interativo.

Exemplos

  1. 01

    Comando kerberos::golden do Mimikatz a criar um TGT de 10 anos para um utilizador falso marcado como Domain Admin.

  2. 02

    Persistencia pos-compromisso, permitindo voltar a entrar no dominio mesmo depois de reset de palavras-passe.

Perguntas frequentes

O que é Golden Ticket?

TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa Golden Ticket?

TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.

Como se defender contra Golden Ticket?

As defesas contra Golden Ticket costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Termos relacionados

Ver também