白银票据
白银票据 是什么?
白银票据使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。
白银票据(Silver Ticket)是攻击者利用某个服务账户(如 SQL Server、IIS、CIFS)的 NTLM 或 AES 哈希在脱机环境下伪造的 TGS。由于该票据由服务账户自己签名,而不是 krbtgt,攻击者根本不与 KDC 通信,因此域控上不会出现 Kerberos 认证事件。在票据有效期内,攻击者可以以任意用户(包括特权用户)身份访问该单一服务。MITRE ATT&CK 将其归为 T1558.002(Steal or Forge Kerberos Tickets: Silver Ticket)。缓解措施包括为服务账户设置强口令(gMSA)、仅启用 AES Kerberos、启用 PAC 校验,以及监控服务端认证日志中的异常。
● 示例
- 01
为数据库服务器的 MSSQL 服务伪造白银票据,以管理员身份查询数据。
- 02
伪造 CIFS 白银票据,无需联系域控即可读取敏感共享中的文件。
● 常见问题
白银票据 是什么?
使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。 它属于网络安全的 攻击与威胁 分类。
白银票据 是什么意思?
使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。
白银票据 是如何工作的?
白银票据(Silver Ticket)是攻击者利用某个服务账户(如 SQL Server、IIS、CIFS)的 NTLM 或 AES 哈希在脱机环境下伪造的 TGS。由于该票据由服务账户自己签名,而不是 krbtgt,攻击者根本不与 KDC 通信,因此域控上不会出现 Kerberos 认证事件。在票据有效期内,攻击者可以以任意用户(包括特权用户)身份访问该单一服务。MITRE ATT&CK 将其归为 T1558.002(Steal or Forge Kerberos Tickets: Silver Ticket)。缓解措施包括为服务账户设置强口令(gMSA)、仅启用 AES Kerberos、启用 PAC 校验,以及监控服务端认证日志中的异常。
如何防御 白银票据?
针对 白银票据 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- identity-access№ 584
Kerberos
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
- attacks№ 447
黄金票据
使用 krbtgt 账户哈希签名伪造的 Kerberos TGT,使攻击者可在整个域中冒充任意主体。
- attacks№ 791
票据传递攻击
针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- attacks№ 583
Kerberoasting
一种针对服务账户的离线口令破解攻击:申请 Kerberos 服务票据并对其加密部分进行离线破解,以还原明文密码。