Як працює атака Golden Ticket

Описание: Дисклеймер: дане відео створене виключно з навчально-просвітницькою метою. Матеріал не є закликом до протиправних дій і не призначений для використання проти чужих систем. Усі демонстрації виконані в контрольованому середовищі.

Що таке «Golden Ticket»?
Уявіть собі «золотий квиток» із «Чарлі та шоколадної фабрики» – він дає власникові необмежений доступ без перешкод. В аналогічному сенсі в кібербезпеці атака «Golden Ticket» забезпечує зловмисникові практично безперешкодний доступ до ресурсів доменної інфраструктури.

Коротко про механізм: атака полягає у зловживанні процесом автентифікації Kerberos. Нападник використовує хеш облікового запису KRBTGT у Active Directory для підробки Ticket Granting Ticket (TGT). У результаті зловмисник може видавати себе за будь-якого користувача (включно з адміністраторами) і отримувати довготривалий доступ до доменних ресурсів, минаючи стандартні перевірки.

У практиці для реалізації подібних атак часто застосовують відомі інструменти (наприклад, Mimikatz або модулі з Impacket), які полегшують роботу з необхідними криптографічними даними. Підроблені TGT виглядають коректно з точки зору криптографії, тому служба видачі квитків (KDC) може їх прийняти навіть після того, як змінено паролі – це прояв архітектурної слабкості в реалізації Kerberos.

Оскільки контролери домену технічно не відрізняють підроблені TGT від легітимних, стандартні журнали автентифікації часто не фіксують очевидних слідів такої атаки. Простого скидання пароля недостатньо: щоб повністю усунути можливість генерації фальшивих квитків, потрібна подвійна ротація ключа KRBTGT на кожному контролері домену.

У цьому відео показано прикладну, ілюстративну демонстрацію того, як може відбуватися така атака в середовищі Active Directory.







Музика: Good Vibes Only by Wanheda   / user-724527508  
Creative Commons — Attribution 3.0 Unported — CC BY 3.0
Free Download / Stream: https://bit.ly/47gKkhR
Music promoted by Audio Library https://bit.ly/3MqlAeY