Матрица MITRE ATT&CK

Техника на mitre.org

T1558.001: Золотой билет Kerberos

Получив хеш пароля от учетной записи KRBTGT, злоумышленники могут генерировать поддельные билеты на выдачу билетов (TGT), также называемые золотыми. Золотые билеты позволяют генерировать данные для аутентификации любой учетной записи в Active Directory.

С его помощью злоумышленники могут запрашивать билеты службы предоставления билетов (TGS) для доступа к любым ресурсам. Получив золотой билет, злоумышленники могут отправлять запросы на получение TGS-билетов через центр распространения ключей.

Центр распространения ключей — это служба, запущенная на всех контроллерах домена, входящих в домен Active Directory. Учетная запись службы центра распространения ключей в Kerberos, которая шифрует и подписывает все билеты Kerberos, называется KRBTGT. Злоумышленники, имеющие привилегированный доступ к контроллеру домена, могут получить хеш пароля учетной записи KRBTGT с помощью техники Получение дампа учетных данных.

Способы обнаружения

ID	DS0026	Источник и компонент данных	Active Directory: Запрос учетных данных Active Directory	Описание	Отслеживайте аномальную деятельность, связанную с Kerberos, такую как события входа в систему Windows и выхода из нее с искаженными или пустыми полями (события с идентификаторами 4769 и 4768), шифрование RC4 в TGT и запросы TGS, которым не предшествуют запросы TGT. Отслеживайте срок действия билетов TGT, отмечая значения, которые отличаются от сроков действия для домена по умолчанию. Отслеживайте указания на использование техники "Передача билета (Pass the Ticket)" для перемещения внутри сети.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Метаданные сеанса входа в систему	Описание	Отслеживайте аномальную активность, связанную с Kerberos, такую как события входа в систему Windows и выхода из нее с искаженными или пустыми полями (события с идентификаторами 4624, 4634 и 4672). Сопоставляйте сведения других систем безопасности с информацией о входе (например, получение пользователем хеша пароля от учетной записи KRBTGT и создание билетов на выдачу билетов Kerberos).

ID	Источник и компонент данных	Описание
DS0026	Active Directory: Запрос учетных данных Active Directory	Отслеживайте аномальную деятельность, связанную с Kerberos, такую как события входа в систему Windows и выхода из нее с искаженными или пустыми полями (события с идентификаторами 4769 и 4768), шифрование RC4 в TGT и запросы TGS, которым не предшествуют запросы TGT. Отслеживайте срок действия билетов TGT, отмечая значения, которые отличаются от сроков действия для домена по умолчанию. Отслеживайте указания на использование техники "Передача билета (Pass the Ticket)" для перемещения внутри сети.
DS0028	Сеанс входа в систему: Метаданные сеанса входа в систему	Отслеживайте аномальную активность, связанную с Kerberos, такую как события входа в систему Windows и выхода из нее с искаженными или пустыми полями (события с идентификаторами 4624, 4634 и 4672). Сопоставляйте сведения других систем безопасности с информацией о входе (например, получение пользователем хеша пароля от учетной записи KRBTGT и создание билетов на выдачу билетов Kerberos).

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте права учетной записи администратора домена только контроллерами домена и необходимыми серверами. Делегируйте другие функции администратора отдельным учетным записям.

ID	M1015	Название	Конфигурация Active Directory	Описание	Чтобы избежать негативных последствий, связанных с ранее созданным золотым билетом, дважды сбросьте пароль встроенной учетной записи KRBTGT. Это аннулирует все существующие золотые билеты, созданные с использованием хеша KRBTGT, а также другие билеты Kerberos, полученные на его основе. Для каждого домена измените пароль учетной записи KRBTGT один раз, выполните принудительную репликацию, а затем измените пароль во второй раз. По возможности меняйте пароль учетной записи KRBTGT каждые 180 дней.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте права учетной записи администратора домена только контроллерами домена и необходимыми серверами. Делегируйте другие функции администратора отдельным учетным записям.
M1015	Конфигурация Active Directory	Чтобы избежать негативных последствий, связанных с ранее созданным золотым билетом, дважды сбросьте пароль встроенной учетной записи KRBTGT. Это аннулирует все существующие золотые билеты, созданные с использованием хеша KRBTGT, а также другие билеты Kerberos, полученные на его основе. Для каждого домена измените пароль учетной записи KRBTGT один раз, выполните принудительную репликацию, а затем измените пароль во второй раз. По возможности меняйте пароль учетной записи KRBTGT каждые 180 дней.