Golden Ticket
Golden ticket
Атака Golden Ticket полягає у створенні легітимного квитка на отримання квитка (TGT), що імітує будь-якого користувача за допомогою NTLM хешу облікового запису krbtgt Active Directory (AD). Ця техніка є особливо вигідною, оскільки вона дозволяє отримати доступ до будь-якої служби або машини в межах домену як імітований користувач. Важливо пам'ятати, що облікові дані облікового запису krbtgt ніколи не оновлюються автоматично.
Щоб отримати NTLM хеш облікового запису krbtgt, можна використовувати різні методи. Його можна витягти з процесу Local Security Authority Subsystem Service (LSASS) або з файлу NT Directory Services (NTDS.dit), розташованого на будь-якому контролері домену (DC) в межах домену. Крім того, виконання атаки DCsync є ще однією стратегією для отримання цього NTLM хешу, що може бути виконано за допомогою таких інструментів, як модуль lsadump::dcsync в Mimikatz або скрипт secretsdump.py від Impacket. Важливо підкреслити, що для виконання цих операцій зазвичай потрібні права адміністратора домену або подібний рівень доступу.
Хоча NTLM хеш служить життєздатним методом для цієї мети, рекомендується підробляти квитки, використовуючи ключі Kerberos з розширеним шифруванням (AES) (AES128 та AES256) з міркувань оперативної безпеки.
Якщо ви маєте впроваджений золотий квиток, ви можете отримати доступ до спільних файлів (C$), а також виконувати сервіси та WMI, тому ви можете використовувати psexec або wmiexec для отримання оболонки (схоже, що ви не можете отримати оболонку через winrm).
Обхід поширених виявлень
Найпоширеніші способи виявлення золотого квитка - це перевірка трафіку Kerberos в мережі. За замовчуванням, Mimikatz підписує TGT на 10 років, що буде виглядати аномально в наступних запитах TGS, зроблених з ним.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Використовуйте параметри /startoffset
, /endin
та /renewmax
, щоб контролювати початковий зсув, тривалість та максимальні поновлення (все в хвилинах).
На жаль, тривалість життя TGT не реєструється в 4769, тому ви не знайдете цю інформацію в журналах подій Windows. Однак, що ви можете корелювати, це бачити 4769 без попереднього 4768. Неможливо запитати TGS без TGT, і якщо немає запису про виданий TGT, ми можемо зробити висновок, що він був підроблений офлайн.
Щоб обійти цю перевірку виявлення, перевірте діамантові квитки:
Diamond TicketПом'якшення
4624: Вхід в обліковий запис
4672: Вхід адміністратора
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Інші маленькі трюки, які можуть зробити захисники, це попереджати про 4769 для чутливих користувачів, таких як обліковий запис адміністратора домену за замовчуванням.
Посилання
Last updated