Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 500

Golden Ticket

ПроверилCybersecurity entrepreneur & security researcher

Что такое Golden Ticket?

Golden TicketПоддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.


Golden Ticket — это TGT, сформированный атакующим оффлайн при наличии хеша пароля учётной записи krbtgt, обычно полученного через атаку репликации DCSync или компрометацию контроллера домена. Поскольку все Kerberos TGT в домене подписываются ключом krbtgt, владелец этого хеша может выпускать билеты для произвольных пользователей, групп и сроков действия, обеспечивая постоянное доминирование в домене. MITRE ATT&CK отслеживает технику как T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket).

Подделка работает потому, что контроллер домена не сверяет выданный им TGT с каким-либо серверным состоянием — он доверяет любому TGT, который расшифровывается ключом krbtgt, считая его подлинным, и читает встроенный PAC (Privilege Attribute Certificate), чтобы определить членство в группах. Таким образом, атакующий может внедрить в PAC произвольные SID, например группу Enterprise Admins (RID 519). Патч Microsoft MS14-068 (CVE-2014-6324) усилил проверку подписи PAC против схожей подделки, при которой низкопривилегированный пользователь подделывал PAC без хеша krbtgt; подлинный Golden Ticket по-прежнему работает и после патча, поскольку он подписан настоящим ключом krbtgt.

Так как krbtgt — это служебная учётная запись, пароль которой почти никогда не меняется, один билет может оставаться действительным годами и переживает полный сброс учётных данных всех остальных пользователей — излюбленный приём закрепления эпохи NotPetya и APT. Единственный надёжный способ выселения — ротация пароля krbtgt дважды подряд (учётная запись хранит текущий и предыдущий ключи), что аннулирует все выпущенные билеты.

flowchart TD
  A[Компрометация контроллера домена] --> B[Извлечение хеша krbtgt<br/>через DCSync или дамп LSASS]
  B --> C[Подделка TGT оффлайн<br/>mimikatz kerberos::golden]
  C --> D["Внедрение привилегированных SID в PAC<br/>напр. Domain / Enterprise Admins"]
  D --> E[Pass-the-Ticket в сессию входа]
  E --> F[Запрос сервисных билетов к любому ресурсу]
  F --> G[Постоянное доминирование в домене]
  H[Двойная ротация krbtgt + аудит DCSync] -.защищает.-> B

Меры защиты включают двойную ротацию пароля krbtgt после любой компрометации DC, ограничение и аудит прав DCSync (репликация каталога), внедрение администрирования tier-0 и поиск аномальных билетов — абсурдно длительные сроки действия, учётные записи без предшествующего AS-REQ или запросы события 4769 для пользователей, никогда не выполнявших интерактивный вход.

Примеры

  1. 01

    Команда Mimikatz kerberos::golden создаёт TGT на 10 лет для вымышленного пользователя со статусом Domain Admin.

  2. 02

    Постоянная закладка после компрометации: атакующий возвращается в домен даже после сброса паролей.

Частые вопросы

Что такое Golden Ticket?

Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Golden Ticket?

Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.

Как защититься от Golden Ticket?

Защита от Golden Ticket обычно сочетает технические меры и операционные практики, как описано в определении выше.

Связанные термины

См. также