Silver Ticket
Что такое Silver Ticket?
Silver TicketПоддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису.
Silver Ticket — это TGS, сформированный оффлайн с использованием NTLM- или AES-хеша конкретной сервисной учётной записи, например для SQL Server, IIS или CIFS. Билет подписан самим сервисным аккаунтом, а не krbtgt, поэтому атакующий не обращается к KDC и на контроллере домена не возникает событий Kerberos-аутентификации. В пределах срока жизни билета атакующий получает доступ к данному сервису от имени любого пользователя, включая привилегированных. MITRE ATT&CK классифицирует технику как T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Защита: сильные пароли сервисных учёток (gMSA), только AES-Kerberos, валидация PAC и мониторинг журналов аутентификации на самом сервисе.
● Примеры
- 01
Создание Silver Ticket для службы MSSQL сервера БД, чтобы выполнять запросы от имени администратора.
- 02
Подделка CIFS Silver Ticket для чтения файлов из чувствительной общей папки без обращения к DC.
● Частые вопросы
Что такое Silver Ticket?
Поддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Silver Ticket?
Поддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису.
Как защититься от Silver Ticket?
Защита от Silver Ticket обычно сочетает технические меры и операционные практики, как описано в определении выше.