Техника на mitre.org

T1558.002: Серебряный билет Kerberos

Имея хеш пароля учетной записи службы (например, SharePoint, MSSQL), злоумышленники могут подделать билеты службы предоставления билетов (TGS) Kerberos, также называемые серебряными или просто билетами службы.

Серебряные билеты дают меньше возможностей, чем золотые: они лишь предоставляют доступ к определенному ресурсу (например, MSSQL) и системе, в которой размещен этот ресурс; однако непосредственное подделывание серебряных билетов, в отличие от их генерации с помощью золотых билетов, не требует взаимодействия с центром распространения ключей, что затрудняет обнаружение.

Для получения хешей паролей целевых служб злоумышленники могут воспользоваться такими техниками, как Получение дампа учетных данных или Керберостинг.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

active_directory_attacks: PT-CR-838: ShadowCred_Used: Атрибут msds-keycredentiallink использован для авторизации учетной записи компьютера в домене без использования пароля. Это может быть признаком использования KrbRelayUp для локального повышения привилегий с помощью Shadow Credentials. Злоумышленник может использовать эту технику для получения учетных данных других пользователей и горизонтального перемещения на другие узлы инфраструктуры active_directory_attacks: PT-CR-836: Kerberos_Silver_Ticket: Атака Silver Ticket, которая позволяет получить TGS-билет для доступа к определенной службе от имени любого пользователя. С помощью TGS-билета злоумышленник может повысить привилегии и скомпрометировать узел

Способы обнаружения

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Метаданные сеанса входа в систему	Описание	Отслеживайте аномальную активность, связанную с Kerberos, такую как события входа в систему Windows и выхода из нее с искаженными или пустыми полями (события с идентификаторами 4624, 4634 и 4672).

ID	Источник и компонент данных	Описание
DS0028	Сеанс входа в систему: Метаданные сеанса входа в систему	Отслеживайте аномальную активность, связанную с Kerberos, такую как события входа в систему Windows и выхода из нее с искаженными или пустыми полями (события с идентификаторами 4624, 4634 и 4672).

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте учетные записи служб минимально необходимыми привилегиями, включая членство в привилегированных группах, таких как администраторы домена.

ID	M1027	Название	Парольные политики	Описание	Проследите, чтобы длина (в идеале 25+ символов) и сложность паролей для учетных записей служб были достаточно велики, а срок действия паролей периодически истекал. Также по возможности используйте групповые управляемые учетные записи служб (gMSA) или такие сторонние продукты, как хранилище паролей.

ID	M1041	Название	Шифрование важной информации	Описание	По возможности включите в Kerberos шифрование AES (или другой сильный алгоритм шифрования), а не RC4.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте учетные записи служб минимально необходимыми привилегиями, включая членство в привилегированных группах, таких как администраторы домена.
M1027	Парольные политики	Проследите, чтобы длина (в идеале 25+ символов) и сложность паролей для учетных записей служб были достаточно велики, а срок действия паролей периодически истекал. Также по возможности используйте групповые управляемые учетные записи служб (gMSA) или такие сторонние продукты, как хранилище паролей.
M1041	Шифрование важной информации	По возможности включите в Kerberos шифрование AES (или другой сильный алгоритм шифрования), а не RC4.