Golden Ticket
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
ゴールデンチケット攻撃は、NTLMハッシュを使用して任意のユーザーを偽装した正当なチケットグラントチケット(TGT)を作成することから成ります。この技術は、偽装されたユーザーとしてドメイン内の任意のサービスやマシンにアクセスできるため、特に有利です。krbtgtアカウントの資格情報は自動的に更新されないことを覚えておくことが重要です。
krbtgtアカウントのNTLMハッシュを取得するために、さまざまな方法が使用できます。これは、ドメイン内の任意のドメインコントローラー(DC)にあるローカルセキュリティ機関サブシステムサービス(LSASS)プロセスまたはNTディレクトリサービス(NTDS.dit)ファイルから抽出できます。さらに、DCsync攻撃を実行することも、このNTLMハッシュを取得するための別の戦略であり、Mimikatzのlsadump::dcsyncモジュールやImpacketのsecretsdump.pyスクリプトなどのツールを使用して実行できます。これらの操作を行うには、ドメイン管理者権限または同等のアクセスレベルが通常必要であることを強調することが重要です。
NTLMハッシュはこの目的に対して有効な方法ですが、運用上のセキュリティ理由から、高度な暗号化標準(AES)Kerberosキー(AES128およびAES256)を使用してチケットを偽造することを強く推奨します。
一度 ゴールデンチケットが注入されると、共有ファイル (C$) にアクセスでき、サービスやWMIを実行できるため、psexec や wmiexec を使用してシェルを取得できます(winrm経由でシェルを取得することはできないようです)。
ゴールデンチケットを検出する最も一般的な方法は、ケルベロストラフィックを検査することです。デフォルトでは、MimikatzはTGTを10年間署名します。これは、その後のTGSリクエストで異常として目立ちます。
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
/startoffset、/endin、および/renewmaxパラメータを使用して、開始オフセット、期間、および最大更新回数(すべて分単位)を制御します。
申し訳ありませんが、TGTの有効期限は4769のログに記録されていないため、この情報はWindowsイベントログには見つかりません。しかし、相関させることができるのは、前の4768なしで4769を見ることです。TGTなしでTGSを要求することは不可能であり、TGTが発行された記録がない場合、それがオフラインで偽造されたと推測できます。
この検出を回避するために、ダイヤモンドチケットを確認してください:
Diamond Ticket4624: アカウントログオン
4672: 管理者ログオン
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
防御者ができる他の小さなトリックは、デフォルトのドメイン管理者アカウントなどの敏感なユーザーのために4769にアラートを出すことです。
AWSハッキングを学び、練習する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する:HackTricks Training GCP Red Team Expert (GRTE)
