Golden Ticket
Что такое Golden Ticket?
Golden TicketПоддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.
Golden Ticket — это TGT, сформированный атакующим оффлайн при наличии хеша пароля учётной записи krbtgt, обычно полученного через атаку репликации DCSync или компрометацию контроллера домена. Поскольку все Kerberos TGT в домене подписываются ключом krbtgt, владелец этого хеша может выпускать билеты для произвольных пользователей, групп и сроков действия, обеспечивая постоянное доминирование в домене. MITRE ATT&CK отслеживает технику как T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket).
Подделка работает потому, что контроллер домена не сверяет выданный им TGT с каким-либо серверным состоянием — он доверяет любому TGT, который расшифровывается ключом krbtgt, считая его подлинным, и читает встроенный PAC (Privilege Attribute Certificate), чтобы определить членство в группах. Таким образом, атакующий может внедрить в PAC произвольные SID, например группу Enterprise Admins (RID 519). Патч Microsoft MS14-068 (CVE-2014-6324) усилил проверку подписи PAC против схожей подделки, при которой низкопривилегированный пользователь подделывал PAC без хеша krbtgt; подлинный Golden Ticket по-прежнему работает и после патча, поскольку он подписан настоящим ключом krbtgt.
Так как krbtgt — это служебная учётная запись, пароль которой почти никогда не меняется, один билет может оставаться действительным годами и переживает полный сброс учётных данных всех остальных пользователей — излюбленный приём закрепления эпохи NotPetya и APT. Единственный надёжный способ выселения — ротация пароля krbtgt дважды подряд (учётная запись хранит текущий и предыдущий ключи), что аннулирует все выпущенные билеты.
flowchart TD A[Компрометация контроллера домена] --> B[Извлечение хеша krbtgt<br/>через DCSync или дамп LSASS] B --> C[Подделка TGT оффлайн<br/>mimikatz kerberos::golden] C --> D["Внедрение привилегированных SID в PAC<br/>напр. Domain / Enterprise Admins"] D --> E[Pass-the-Ticket в сессию входа] E --> F[Запрос сервисных билетов к любому ресурсу] F --> G[Постоянное доминирование в домене] H[Двойная ротация krbtgt + аудит DCSync] -.защищает.-> B
Меры защиты включают двойную ротацию пароля krbtgt после любой компрометации DC, ограничение и аудит прав DCSync (репликация каталога), внедрение администрирования tier-0 и поиск аномальных билетов — абсурдно длительные сроки действия, учётные записи без предшествующего AS-REQ или запросы события 4769 для пользователей, никогда не выполнявших интерактивный вход.
● Примеры
- 01
Команда Mimikatz kerberos::golden создаёт TGT на 10 лет для вымышленного пользователя со статусом Domain Admin.
- 02
Постоянная закладка после компрометации: атакующий возвращается в домен даже после сброса паролей.
● Частые вопросы
Что такое Golden Ticket?
Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Golden Ticket?
Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.
Как защититься от Golden Ticket?
Защита от Golden Ticket обычно сочетает технические меры и операционные практики, как описано в определении выше.