Golden Ticket
Что такое Golden Ticket?
Golden TicketПоддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.
Golden Ticket — это TGT, сформированный атакующим оффлайн при наличии хеша пароля учётной записи krbtgt, обычно полученного через DCSync-репликацию или компрометацию контроллера домена. Поскольку все TGT в домене подписываются ключом krbtgt, владелец этого хеша может выпускать билеты для произвольных пользователей, групп и сроков действия, обеспечивая постоянное доминирование в домене. MITRE ATT&CK отслеживает технику как T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). Для митигации применяют двойную ротацию пароля krbtgt после любой компрометации DC, ограничение и аудит права DCSync, модель администрирования tier-0 и поиск TGT с аномально длительным или невозможным сроком действия.
● Примеры
- 01
Команда Mimikatz kerberos::golden создаёт TGT на 10 лет для вымышленного пользователя со статусом Domain Admin.
- 02
Постоянная закладка после компрометации: атакующий возвращается в домен даже после сброса паролей.
● Частые вопросы
Что такое Golden Ticket?
Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Golden Ticket?
Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.
Как работает Golden Ticket?
Golden Ticket — это TGT, сформированный атакующим оффлайн при наличии хеша пароля учётной записи krbtgt, обычно полученного через DCSync-репликацию или компрометацию контроллера домена. Поскольку все TGT в домене подписываются ключом krbtgt, владелец этого хеша может выпускать билеты для произвольных пользователей, групп и сроков действия, обеспечивая постоянное доминирование в домене. MITRE ATT&CK отслеживает технику как T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket). Для митигации применяют двойную ротацию пароля krbtgt после любой компрометации DC, ограничение и аудит права DCSync, модель администрирования tier-0 и поиск TGT с аномально длительным или невозможным сроком действия.
Как защититься от Golden Ticket?
Защита от Golden Ticket обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 584
Kerberos
Сетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- attacks№ 1045
Silver Ticket
Поддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису.
- attacks№ 791
Pass-the-Ticket
Атака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля.
- defense-ops№ 817
Закрепление (Persistence)
Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты.
● См. также
- № 107BloodHound