MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1558.002: Серебряный билет Kerberos

Имея хеш пароля учетной записи службы (например, SharePoint, MSSQL), злоумышленники могут подделать билеты службы предоставления билетов (TGS) Kerberos, также называемые серебряными или просто билетами службы.

Серебряные билеты дают меньше возможностей, чем золотые: они лишь предоставляют доступ к определенному ресурсу (например, MSSQL) и системе, в которой размещен этот ресурс; однако непосредственное подделывание серебряных билетов, в отличие от их генерации с помощью золотых билетов, не требует взаимодействия с центром распространения ключей, что затрудняет обнаружение.

Для получения хешей паролей целевых служб злоумышленники могут воспользоваться такими техниками, как Получение дампа учетных данных или Керберостинг.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

active_directory_attacks: PT-CR-836: Kerberos_Silver_Ticket: Атака Silver Ticket, которая позволяет получить TGS-билет для доступа к определенной службе от имени любого пользователя. С помощью TGS-билета злоумышленник может повысить привилегии и скомпрометировать узел
active_directory_attacks: PT-CR-838: ShadowCred_Used: Атрибут msds-keycredentiallink использован для авторизации учетной записи компьютера в домене без использования пароля. Это может быть признаком использования KrbRelayUp для локального повышения привилегий с помощью Shadow Credentials. Злоумышленник может использовать эту технику для получения учетных данных других пользователей и горизонтального перемещения на другие узлы инфраструктуры

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Метаданные сеанса входа в системуОписание

Monitor for anomalous Kerberos activity, such as malformed or blank fields in Windows logon/logoff events (Event ID 4624, 4634, 4672).

Меры противодействия

IDM1027НазваниеПарольные политикиОписание

Ensure strong password length (ideally 25+ characters) and complexity for service accounts and that these passwords periodically expire. Also consider using Group Managed Service Accounts or another third party product such as password vaulting.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Limit service accounts to minimal required privileges, including membership in privileged groups such as Domain Administrators.

IDM1041НазваниеШифрование важной информацииОписание

Enable AES Kerberos encryption (or another stronger encryption algorithm), rather than RC4, where possible.