Pass-the-Ticket
Что такое Pass-the-Ticket?
Pass-the-TicketАтака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля.
Pass-the-Ticket (PtT) злоупотребляет Kerberos: украденный TGT или сервисный билет внедряется в текущий сеанс входа и используется для доступа к ресурсам от имени исходного субъекта. Атакующие извлекают билеты из памяти LSASS или из kirbi-файлов на скомпрометированных хостах (обычно Mimikatz или Rubeus), затем внедряют их на другой машине для аутентификации к SMB-ресурсам, MSSQL и контроллерам домена. MITRE ATT&CK классифицирует технику как T1550.003 (Use Alternate Authentication Material: Pass the Ticket). Защита: Credential Guard, короткие сроки жизни билетов, группа Protected Users для привилегированных учётных записей, мониторинг событий Kerberos и обнаружение чтения памяти в стиле Mimikatz.
● Примеры
- 01
Кража TGT администратора домена с рабочей станции и повторное использование для подключения к контроллеру домена.
- 02
Экспорт билетов через Rubeus и их внедрение на хосте атакующего для запросов к AD.
● Частые вопросы
Что такое Pass-the-Ticket?
Атака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Pass-the-Ticket?
Атака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля.
Как защититься от Pass-the-Ticket?
Защита от Pass-the-Ticket обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Pass-the-Ticket?
Распространённые альтернативные названия: PtT.