Diamond Ticket
Bilhete de Diamante
Como um bilhete de ouro, um bilhete de diamante é um TGT que pode ser usado para acessar qualquer serviço como qualquer usuário. Um bilhete de ouro é forjado completamente offline, criptografado com o hash krbtgt desse domínio e depois passado para uma sessão de logon para uso. Como os controladores de domínio não rastreiam os TGTs que emitiram legitimamente, eles aceitarão felizmente TGTs que estão criptografados com seu próprio hash krbtgt.
Existem duas técnicas comuns para detectar o uso de bilhetes de ouro:
Procure por TGS-REQs que não têm um AS-REQ correspondente.
Procure por TGTs que têm valores bobos, como o tempo de vida padrão de 10 anos do Mimikatz.
Um bilhete de diamante é feito modificando os campos de um TGT legítimo que foi emitido por um DC. Isso é alcançado solicitando um TGT, descriptografando com o hash krbtgt do domínio, modificando os campos desejados do bilhete e, em seguida, recriptografando. Isso supera as duas deficiências mencionadas de um bilhete de ouro porque:
Os TGS-REQs terão um AS-REQ precedente.
O TGT foi emitido por um DC, o que significa que terá todos os detalhes corretos da política de Kerberos do domínio. Mesmo que esses possam ser falsificados com precisão em um bilhete de ouro, é mais complexo e está sujeito a erros.
Last updated