Техника на mitre.org

T1550.003: Передача билета (Pass the Ticket)

Злоумышленники могут воспользоваться методом передачи украденных билетов Kerberos, чтобы обеспечить перемещение внутри периметра и обойти обычные средства управления доступом. Передача билета (Pass the Ticket) позволяет выполнять аутентификацию в системе с использованием билетов Kerberos без ввода пароля. Аутентификация с использованием билетов Kerberos может предшествовать перемещению в удаленную систему.

Для реализации этой техники действительные билеты Kerberos для существующих учетных записей извлекаются путем получения дампа учетных данных. В зависимости от уровня доступа, злоумышленник может получить либо билет службы, либо билет на выдачу билетов (TGT). Билет службы позволяет получить доступ к определенному ресурсу, а TGT используется для запроса билетов службы у службы предоставления билетов (TGS) для доступа к ресурсам (при наличии у пользователя соответствующих прав доступа).

Серебряный билет Kerberos предоставляет доступ к службам, которые используют Kerberos в качестве механизма аутентификации и генерируют билеты для доступа к конкретному ресурсу и системе, в которой он размещен (например, SharePoint).

Золотой билет Kerberos генерируется с помощью NTLM-хеша доменной учетной записи службы распространения ключей KRBTGT и позволяет генерировать TGT для любой учетной записи в Active Directory.

Злоумышленники также могут создать действительный билет Kerberos, используя другие данные пользователя, например украденные хеши паролей или ключи AES. Например, метод Overpass the Hash предусматривает использование хеша пароля NTLM для аутентификации от имени пользователя (техника Передача хеша (Pass the Hash)), а также для создания действительного билета Kerberos.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-1094: KRB_Relay_Auth_MITM6: Обнаружен вход по протоколу Kerberos с узла, с которого выполнена подмена DNS

Способы обнаружения

ID	DS0026	Источник и компонент данных	Active Directory: Запрос учетных данных Active Directory	Описание	Отслеживайте запросы билетов на выдачу билетов или билеты службы, которые выдаются контроллеру домена. Событие с идентификатором 4769 для контроллера домена создается в случае использовании золотого билета Kerberos после двойного сброса пароля KRBTGT, как уже упоминалось в разделе о предотвращении атак. Код статуса 0x1F означает, что действие завершилось ошибкой "Проверка целостности расшифрованного поля провалена", указывающей на применение недействительного золотого билета.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Проводите аудит всех случаев аутентификации Kerberos и использования учетных данных и проверяйте их на наличие несоответствий. Необычные события удаленной аутентификации, коррелирующие с другими подозрительными действиями (например, записью и выполнением бинарных файлов), могут указывать на вредоносную активность.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в систему, направленные на реализацию метода передачи украденных билетов Kerberos, позволяющего обеспечить перемещение внутри периметра и обойти обычные средства управления доступом.

ID	Источник и компонент данных	Описание
DS0026	Active Directory: Запрос учетных данных Active Directory	Отслеживайте запросы билетов на выдачу билетов или билеты службы, которые выдаются контроллеру домена. Событие с идентификатором 4769 для контроллера домена создается в случае использовании золотого билета Kerberos после двойного сброса пароля KRBTGT, как уже упоминалось в разделе о предотвращении атак. Код статуса 0x1F означает, что действие завершилось ошибкой "Проверка целостности расшифрованного поля провалена", указывающей на применение недействительного золотого билета.
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Проводите аудит всех случаев аутентификации Kerberos и использования учетных данных и проверяйте их на наличие несоответствий. Необычные события удаленной аутентификации, коррелирующие с другими подозрительными действиями (например, записью и выполнением бинарных файлов), могут указывать на вредоносную активность.
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в систему, направленные на реализацию метода передачи украденных билетов Kerberos, позволяющего обеспечить перемещение внутри периметра и обойти обычные средства управления доступом.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Не допускайте, чтобы пользователь домена был локальным администратором на нескольких системах.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте права учетной записи администратора домена только контроллерами домена и необходимыми серверами. Делегируйте другие функции администратора отдельным учетным записям.

ID	M1027	Название	Парольные политики	Описание	Проследите, чтобы учетные записи локальных администраторов имели сложные уникальные пароли.

ID	M1015	Название	Конфигурация Active Directory	Описание	Чтобы избежать негативных последствий, связанных с ранее созданным золотым билетом, дважды сбросьте пароль встроенной учетной записи KRBTGT. Это аннулирует все существующие золотые билеты, созданные с использованием хеша KRBTGT, а также другие билеты Kerberos, полученные на его основе. Для каждого домена измените пароль учетной записи KRBTGT один раз, выполните принудительную репликацию, а затем измените пароль во второй раз. По возможности меняйте пароль учетной записи KRBTGT каждые 180 дней.

ID	Название	Описание
M1018	Управление учетными записями	Не допускайте, чтобы пользователь домена был локальным администратором на нескольких системах.
M1026	Управление привилегированными учетными записями	Ограничьте права учетной записи администратора домена только контроллерами домена и необходимыми серверами. Делегируйте другие функции администратора отдельным учетным записям.
M1027	Парольные политики	Проследите, чтобы учетные записи локальных администраторов имели сложные уникальные пароли.
M1015	Конфигурация Active Directory	Чтобы избежать негативных последствий, связанных с ранее созданным золотым билетом, дважды сбросьте пароль встроенной учетной записи KRBTGT. Это аннулирует все существующие золотые билеты, созданные с использованием хеша KRBTGT, а также другие билеты Kerberos, полученные на его основе. Для каждого домена измените пароль учетной записи KRBTGT один раз, выполните принудительную репликацию, а затем измените пароль во второй раз. По возможности меняйте пароль учетной записи KRBTGT каждые 180 дней.