T1558.002: Серебряный билет Kerberos
Имея хеш пароля учетной записи службы (например, SharePoint, MSSQL), злоумышленники могут подделать билеты службы предоставления билетов (TGS) Kerberos, также называемые серебряными или просто билетами службы.
Серебряные билеты дают меньше возможностей, чем золотые: они лишь предоставляют доступ к определенному ресурсу (например, MSSQL) и системе, в которой размещен этот ресурс; однако непосредственное подделывание серебряных билетов, в отличие от их генерации с помощью золотых билетов, не требует взаимодействия с центром распространения ключей, что затрудняет обнаружение.
Для получения хешей паролей целевых служб злоумышленники могут воспользоваться такими техниками, как Получение дампа учетных данных или Керберостинг.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_attacks: PT-CR-836: Kerberos_Silver_Ticket: Атака Silver Ticket, которая позволяет получить TGS-билет для доступа к определенной службе от имени любого пользователя. С помощью TGS-билета злоумышленник может повысить привилегии и скомпрометировать узел
active_directory_attacks: PT-CR-838: ShadowCred_Used: Атрибут msds-keycredentiallink использован для авторизации учетной записи компьютера в домене без использования пароля. Это может быть признаком использования KrbRelayUp для локального повышения привилегий с помощью Shadow Credentials. Злоумышленник может использовать эту технику для получения учетных данных других пользователей и горизонтального перемещения на другие узлы инфраструктуры
Способы обнаружения
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Метаданные сеанса входа в систему | Описание | Monitor for anomalous Kerberos activity, such as malformed or blank fields in Windows logon/logoff events (Event ID 4624, 4634, 4672). |
---|
Меры противодействия
ID | M1027 | Название | Парольные политики | Описание | Ensure strong password length (ideally 25+ characters) and complexity for service accounts and that these passwords periodically expire. Also consider using Group Managed Service Accounts or another third party product such as password vaulting. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Limit service accounts to minimal required privileges, including membership in privileged groups such as Domain Administrators. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Enable AES Kerberos encryption (or another stronger encryption algorithm), rather than RC4, where possible. |
---|