票据传递攻击
票据传递攻击 是什么?
票据传递攻击针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。
Pass-the-Ticket(PtT)滥用 Kerberos:攻击者将先前窃取的 TGT 或服务票据注入当前登录会话,以原始主体身份访问资源。常见做法是用 Mimikatz 或 Rubeus 从 LSASS 内存或受控主机上的 kirbi 文件中提取票据,然后在另一台机器上注入,以认证到 SMB 共享、MSSQL 或域控制器。MITRE ATT&CK 将其归为 T1550.003(Use Alternate Authentication Material: Pass the Ticket)。常见防御包括启用 Credential Guard、缩短票据有效期、将特权账户加入 Protected Users 组、监控 Kerberos 事件以及检测类似 Mimikatz 的内存读取行为。
● 示例
- 01
从工作站窃取域管理员的 TGT,并在攻击机上重放以登录域控。
- 02
用 Rubeus 导出票据,并注入到攻击者的主机上以查询 AD。
● 常见问题
票据传递攻击 是什么?
针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。 它属于网络安全的 攻击与威胁 分类。
票据传递攻击 是什么意思?
针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。
票据传递攻击 是如何工作的?
Pass-the-Ticket(PtT)滥用 Kerberos:攻击者将先前窃取的 TGT 或服务票据注入当前登录会话,以原始主体身份访问资源。常见做法是用 Mimikatz 或 Rubeus 从 LSASS 内存或受控主机上的 kirbi 文件中提取票据,然后在另一台机器上注入,以认证到 SMB 共享、MSSQL 或域控制器。MITRE ATT&CK 将其归为 T1550.003(Use Alternate Authentication Material: Pass the Ticket)。常见防御包括启用 Credential Guard、缩短票据有效期、将特权账户加入 Protected Users 组、监控 Kerberos 事件以及检测类似 Mimikatz 的内存读取行为。
如何防御 票据传递攻击?
针对 票据传递攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
票据传递攻击 还有哪些其他名称?
常见的别称包括: PtT。
● 相关术语
- identity-access№ 584
Kerberos
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
- attacks№ 790
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。
- attacks№ 447
黄金票据
使用 krbtgt 账户哈希签名伪造的 Kerberos TGT,使攻击者可在整个域中冒充任意主体。
- attacks№ 1045
白银票据
使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。