Diamond Ticket
ダイヤモンドチケット
ゴールデンチケットのように、ダイヤモンドチケットは任意のユーザーとして任意のサービスにアクセスできるTGTです。 ゴールデンチケットは完全にオフラインで偽造され、そのドメインのkrbtgtハッシュで暗号化され、その後使用するためにログオンセッションに渡されます。 ドメインコントローラは、正当に発行されたTGTを追跡しないため、自分自身のkrbtgtハッシュで暗号化されたTGTを喜んで受け入れます。
ゴールデンチケットの使用を検出するための2つの一般的な技術があります:
対応するAS-REQがないTGS-REQを検索します。
Mimikatzのデフォルトの10年間有効期限など、ばかげた値を持つTGTを検索します。
ダイヤモンドチケットは、DCによって発行された正当なTGTのフィールドを変更して作成されます。 これは、TGTを要求し、ドメインのkrbtgtハッシュで復号し、チケットの必要なフィールドを変更してから再度暗号化することによって達成されます。 これにより、ダイヤモンドチケットは、ゴールデンチケットの2つの前述の欠点を克服します:
TGS-REQには前のAS-REQがあります。
TGTはDCによって発行されたものであり、ドメインのKerberosポリシーのすべての正しい詳細を持っています。 ゴールデンチケットでこれらを正確に偽造することができますが、より複雑でミスの可能性があります。
Last updated