Entry № 1163
白银票据
白银票据 是什么?
白银票据使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。
白银票据(Silver Ticket)是攻击者利用某个服务账户(如 SQL Server、IIS、CIFS)的 NTLM 或 AES 哈希在脱机环境下伪造的 TGS。由于该票据由服务账户自己签名,而不是 krbtgt,攻击者根本不与 KDC 通信,因此域控上不会出现 Kerberos 认证事件。在票据有效期内,攻击者可以以任意用户(包括特权用户)身份访问该单一服务。MITRE ATT&CK 将其归为 T1558.002(Steal or Forge Kerberos Tickets: Silver Ticket)。缓解措施包括为服务账户设置强口令(gMSA)、仅启用 AES Kerberos、启用 PAC 校验,以及监控服务端认证日志中的异常。
● 示例
- 01
为数据库服务器的 MSSQL 服务伪造白银票据,以管理员身份查询数据。
- 02
伪造 CIFS 白银票据,无需联系域控即可读取敏感共享中的文件。
● 常见问题
白银票据 是什么?
使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。 它属于网络安全的 攻击与威胁 分类。
白银票据 是什么意思?
使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。
如何防御 白银票据?
针对 白银票据 的防御通常结合技术控制与运营实践,详见上方完整定义。