黄金票据
黄金票据 是什么?
黄金票据使用 krbtgt 账户哈希签名伪造的 Kerberos TGT,使攻击者可在整个域中冒充任意主体。
黄金票据(Golden Ticket)是攻击者在获取 krbtgt 账户哈希(通常通过 DCSync 复制攻击或攻陷域控)后,在脱机环境中伪造的 TGT。由于域内所有 TGT 都由 krbtgt 签名,拥有该哈希的攻击者可以为任意用户、任意组、任意有效期生成票据,从而获得对域的持久控制权。MITRE ATT&CK 将其归为 T1558.001(Steal or Forge Kerberos Tickets: Golden Ticket)。常见缓解措施包括域控被攻陷后两次轮换 krbtgt 密码、限制并审计 DCSync 权限、实施 Tier-0 分层管理,以及检测有效期异常或逻辑上不可能的 TGT。
● 示例
- 01
用 Mimikatz 的 kerberos::golden 命令生成一个有效期 10 年、伪装为 Domain Admin 的虚假用户 TGT。
- 02
事后持久化:即使密码被重置,攻击者仍可凭黄金票据重新进入域。
● 常见问题
黄金票据 是什么?
使用 krbtgt 账户哈希签名伪造的 Kerberos TGT,使攻击者可在整个域中冒充任意主体。 它属于网络安全的 攻击与威胁 分类。
黄金票据 是什么意思?
使用 krbtgt 账户哈希签名伪造的 Kerberos TGT,使攻击者可在整个域中冒充任意主体。
黄金票据 是如何工作的?
黄金票据(Golden Ticket)是攻击者在获取 krbtgt 账户哈希(通常通过 DCSync 复制攻击或攻陷域控)后,在脱机环境中伪造的 TGT。由于域内所有 TGT 都由 krbtgt 签名,拥有该哈希的攻击者可以为任意用户、任意组、任意有效期生成票据,从而获得对域的持久控制权。MITRE ATT&CK 将其归为 T1558.001(Steal or Forge Kerberos Tickets: Golden Ticket)。常见缓解措施包括域控被攻陷后两次轮换 krbtgt 密码、限制并审计 DCSync 权限、实施 Tier-0 分层管理,以及检测有效期异常或逻辑上不可能的 TGT。
如何防御 黄金票据?
针对 黄金票据 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- identity-access№ 584
Kerberos
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- attacks№ 1045
白银票据
使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。
- attacks№ 791
票据传递攻击
针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。
- defense-ops№ 817
持久化
MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。
● 参见
- № 107BloodHound