Pass-the-Ticket
Что такое Pass-the-Ticket?
Pass-the-TicketАтака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля.
Pass-the-Ticket (PtT) злоупотребляет Kerberos: украденный TGT или сервисный билет внедряется в текущий сеанс входа и используется для доступа к ресурсам от имени исходного субъекта. Атакующие извлекают билеты из памяти LSASS или из kirbi-файлов на скомпрометированных хостах (обычно Mimikatz или Rubeus), затем внедряют их на другой машине для аутентификации к SMB-ресурсам, MSSQL и контроллерам домена. MITRE ATT&CK классифицирует технику как T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Защита: Credential Guard, короткие сроки жизни билетов, группа Protected Users для привилегированных учётных записей, мониторинг событий Kerberos и обнаружение чтения памяти в стиле Mimikatz.
● Примеры
- 01
Кража TGT администратора домена с рабочей станции и повторное использование для подключения к контроллеру домена.
- 02
Экспорт билетов через Rubeus и их внедрение на хосте атакующего для запросов к AD.
● Частые вопросы
Что такое Pass-the-Ticket?
Атака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Pass-the-Ticket?
Атака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля.
Как работает Pass-the-Ticket?
Pass-the-Ticket (PtT) злоупотребляет Kerberos: украденный TGT или сервисный билет внедряется в текущий сеанс входа и используется для доступа к ресурсам от имени исходного субъекта. Атакующие извлекают билеты из памяти LSASS или из kirbi-файлов на скомпрометированных хостах (обычно Mimikatz или Rubeus), затем внедряют их на другой машине для аутентификации к SMB-ресурсам, MSSQL и контроллерам домена. MITRE ATT&CK классифицирует технику как T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Защита: Credential Guard, короткие сроки жизни билетов, группа Protected Users для привилегированных учётных записей, мониторинг событий Kerberos и обнаружение чтения памяти в стиле Mimikatz.
Как защититься от Pass-the-Ticket?
Защита от Pass-the-Ticket обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Pass-the-Ticket?
Распространённые альтернативные названия: PtT.
● Связанные термины
- identity-access№ 584
Kerberos
Сетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
- attacks№ 790
Pass-the-Hash
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.
- attacks№ 447
Golden Ticket
Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.
- attacks№ 1045
Silver Ticket
Поддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.