Як працює атака Golden Ticket

Дисклеймер: дане відео створене виключно з навчально-просвітницькою метою. Матеріал не є закликом до протиправних дій і не призначений для використання проти чужих систем. Усі демонстрації виконані в контрольованому середовищі. Що таке «Golden Ticket»? Уявіть собі «золотий квиток» із «Чарлі та шоколадної фабрики» – він дає власникові необмежений доступ без перешкод. В аналогічному сенсі в кібербезпеці атака «Golden Ticket» забезпечує зловмисникові практично безперешкодний доступ до ресурсів доменної інфраструктури. Коротко про механізм: атака полягає у зловживанні процесом автентифікації Kerberos. Нападник використовує хеш облікового запису KRBTGT у Active Directory для підробки Ticket Granting Ticket (TGT). У результаті зловмисник може видавати себе за будь-якого користувача (включно з адміністраторами) і отримувати довготривалий доступ до доменних ресурсів, минаючи стандартні перевірки. У практиці для реалізації подібних атак часто застосовують відомі інструменти (наприклад, Mimikatz або модулі з Impacket), які полегшують роботу з необхідними криптографічними даними. Підроблені TGT виглядають коректно з точки зору криптографії, тому служба видачі квитків (KDC) може їх прийняти навіть після того, як змінено паролі – це прояв архітектурної слабкості в реалізації Kerberos. Оскільки контролери домену технічно не відрізняють підроблені TGT від легітимних, стандартні журнали автентифікації часто не фіксують очевидних слідів такої атаки. Простого скидання пароля недостатньо: щоб повністю усунути можливість генерації фальшивих квитків, потрібна подвійна ротація ключа KRBTGT на кожному контролері домену. У цьому відео показано прикладну, ілюстративну демонстрацію того, як може відбуватися така атака в середовищі Active Directory. Музика: Good Vibes Only by Wanheda   / user-724527508   Creative Commons — Attribution 3.0 Unported — CC BY 3.0 Free Download / Stream:
Music promoted by Audio Library