Diamond Ticket
Diamond Ticket
Come un biglietto d'oro, un diamond ticket è un TGT che può essere utilizzato per accedere a qualsiasi servizio come qualsiasi utente. Un biglietto d'oro viene forgiato completamente offline, criptato con l'hash krbtgt di quel dominio, e quindi passato in una sessione di accesso per l'uso. Poiché i controller di dominio non tengono traccia dei TGT che hanno emesso legittimamente, accetteranno volentieri TGT criptati con il proprio hash krbtgt.
Ci sono due tecniche comuni per rilevare l'uso di biglietti d'oro:
Cercare TGS-REQ che non hanno una corrispondente AS-REQ.
Cercare TGT con valori ridicoli, come il valore predefinito di 10 anni di Mimikatz.
Un diamond ticket viene creato modificando i campi di un TGT legittimo emesso da un DC. Questo viene realizzato richiedendo un TGT, decrittandolo con l'hash krbtgt del dominio, modificando i campi desiderati del biglietto, quindi ricriptandolo. Questo supera le due limitazioni sopra menzionate di un biglietto d'oro perché:
I TGS-REQ avranno un precedente AS-REQ.
Il TGT è stato emesso da un DC, il che significa che avrà tutti i dettagli corretti dalla policy di Kerberos del dominio. Anche se questi possono essere accuratamente falsificati in un biglietto d'oro, è più complesso e suscettibile a errori.
Last updated