10.5 Falšování lístků (Silver a Golden ticket)

Jedná se o pokročilé techniky v prostředí Active Directory sloužící jak pro horizontální pohyb, tak především pro eskalaci a udržování persistence. Vyžadují předchozí kompromitaci určitých důležitých hesel neboli hashů.

Silver Ticket (Stříbrný lístek)

Silver ticket nepředstavuje úplné zkompromitování celé domény, omezuje se pouze na lokální přístup ke specifické zranitelné službě běžící pod prolomeným účtem (často získáno z útoku typu Kerberoasting). Tímto útokem si útočník lokálně zfalšuje (vyrobí) Service ticket (TGS).

Silver Ticket (Základní princip)
  1. Útočník crackne hash hesla (NTLM/AES klíč) aplikačního servisního účtu, nikoliv domény jako celku.
  2. S využitím tohoto klíče zfalšuje platný Service Ticket tak, že se sám doménovému řadiči vyhne. Ve zfalšovaném lístku impersonuje libovolného existujícího uživatele domény s jakýmikoliv privilegii, například s právy lokálního administrátora pro cílový server.
  3. Pošle lístek přímo serveru s danou službou (v rámci AP_REQ).
  4. Škoda závisí na typu služby a jejích právech nad serverem a doménou.
Problém s PAC (Privilege Attribute Certificate): Na moderních a aktualizovaných systémech může služba před přijetím ověřovat oprávněnost tohoto certifikátu u samotného doménového řadiče. Zfalšovaný PAC nebude řadičem verifikován, jelikož podpis od krbtgt účtu útočník nemá, služba následně obdrží chybu a odmítne lístek akceptovat.

Golden Ticket (Zlatý lístek)

Golden Ticket je v zásadě tou nejtěžší kapitulací Active Directory sítě, po které následuje jen kompletní pád. Představuje absolutní úroveň persistence a úplnou kompromitaci domény. Jde o padělaný lístek TGT (Ticket Granting Ticket), a nikoliv pouze specifický servisní lístek. TGT je standardně podepisován systémovým účtem krbtgt.

Golden Ticket (Základní princip)
  1. Útočník musí kompromitovat doménu, obvykle právy Domain Admin, a na doménovém řadiči provést DCSync neboli stažení hashe účtu krbtgt.
  2. Použije NTLM/AES hash od účtu krbtgt k falšování (offline) libovolného nového TGT lístku pro komunikaci v síti.
  3. Ve zfalšovaném TGT útočník typicky přidělí fiktivní identitu člena skupiny Domain Admins. Lze doslova podvrhnout libovolné fiktivní uživatelské jméno a neexistující uživatelské ID. Uživatel totiž nemusí v doméně reálně existovat! Oprávnění mu dodá samotný lístek.
  4. Pomocí lístku teď útočník od řadiče obdrží jakýkoliv TGS servisní lístek pro kteroukoliv službu a stroj v celé doméně. V podstatě může vše a na jak dlouho chce.
Zajímavosti a slabiny (Golden Ticket)
Výhoda (Pros): Trvalá persistence v doméně bez nutnosti využívat napadené účty (žádné sledování v lozích napadených uživatelů).

Slabiny (Cons): O vzniku TGT (AS_REQ fázi) neexistuje na DC ani žádný log/důkaz (řadič to může logovat jako podezřelé ve chvíli žádání TGS lístků bez předchozí AS žádosti v čase). Druhou nevýhodou pro útočníka je, že pokud uplyne dlouhá doba (obvykle 40 dní nebo v případě double reset), administrátor může systémově změnit heslo krbtgt účtu. Od toho okamžiku všechny podstrčené TGT starým hashem ztratí svou platnost.