Silver Ticket
Что такое Silver Ticket?
Silver TicketПоддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису.
Silver Ticket — это TGS, сформированный оффлайн с использованием NTLM- или AES-хеша конкретной сервисной учётной записи, например для SQL Server, IIS или CIFS. Билет подписан самим сервисным аккаунтом, а не krbtgt, поэтому атакующий не обращается к KDC и на контроллере домена не возникает событий Kerberos-аутентификации. В пределах срока жизни билета атакующий получает доступ к данному сервису от имени любого пользователя, включая привилегированных. MITRE ATT&CK классифицирует технику как T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Защита: сильные пароли сервисных учёток (gMSA), только AES-Kerberos, валидация PAC и мониторинг журналов аутентификации на самом сервисе.
● Примеры
- 01
Создание Silver Ticket для службы MSSQL сервера БД, чтобы выполнять запросы от имени администратора.
- 02
Подделка CIFS Silver Ticket для чтения файлов из чувствительной общей папки без обращения к DC.
● Частые вопросы
Что такое Silver Ticket?
Поддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Silver Ticket?
Поддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису.
Как работает Silver Ticket?
Silver Ticket — это TGS, сформированный оффлайн с использованием NTLM- или AES-хеша конкретной сервисной учётной записи, например для SQL Server, IIS или CIFS. Билет подписан самим сервисным аккаунтом, а не krbtgt, поэтому атакующий не обращается к KDC и на контроллере домена не возникает событий Kerberos-аутентификации. В пределах срока жизни билета атакующий получает доступ к данному сервису от имени любого пользователя, включая привилегированных. MITRE ATT&CK классифицирует технику как T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Защита: сильные пароли сервисных учёток (gMSA), только AES-Kerberos, валидация PAC и мониторинг журналов аутентификации на самом сервисе.
Как защититься от Silver Ticket?
Защита от Silver Ticket обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 584
Kerberos
Сетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
- attacks№ 447
Golden Ticket
Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.
- attacks№ 791
Pass-the-Ticket
Атака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- attacks№ 583
Kerberoasting
Оффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде.