Golden Ticket

Views: 882
0 0
Read Time:1 Minute, 27 Second

Um ataque de Golden Ticket é quando um invasor tem acesso completo e irrestrito a todo um domínio — todos os computadores, arquivos, pastas e, o mais importante, o próprio sistema de controle de acesso.

Os ataques de Golden Ticket podem ser realizados contra domínios do Active Directory, onde o controle de acesso é implementado usando bilhetes Kerberos emitidos para usuários autenticados por um Serviço de Distribuição de Chaves.

O invasor ganha controle sobre a conta do Serviço de Distribuição de Chaves (CONTA KRBTGT) do domínio roubando seu hash NTLM. Isso permite que o invasor gere TGTs (Ticket Granting Tickets, tickets de concessão de ingressos) para qualquer conta no domínio Active Directory. Com TGTs válidos, o invasor pode solicitar acesso a qualquer recurso/sistema em seu domínio a partir do TGS (Ticket Granting Service).

Como o invasor está controlando o componente do sistema de controle de acesso que é responsável pela emissão de Tickets Granting Tickets (TGTs), então ele tem o bilhete dourado para acessar qualquer recurso no domínio.

Perguntas frequentes

O QUE É UMA CONTA KRBTGT?

KRBTGT é a conta do Serviço de Distribuição chave.

QUAL É A DIFERENÇA ENTRE GOLDEN TICKET E PASS THE HASH?

Pass the hash é uma forma de dumping de credencial usado para ter acesso à conta do Serviço de Distribuição chave. O acesso à conta do serviço é considerado o bilhete dourado que permite ao invasor obter outros bilhetes que acessam recursos específicos.

QUAL É A CONEXÃO ENTRE MIMIKATZ E O BILHETE DOURADO?

Mimikatz é uma lixeira credencial capaz de obter logins e senhas de contas do Windows com texto simples. Ele implementa os módulos específicos necessários para extrair o hash da conta KRBTGT e criar/usar os tickets Kerberos.

FONTE: THE SECRET SECURITY WIKI

POSTS RELACIONADOS