Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Угроза
Обход систем защиты
из-за уязвимости
Возможность использования скомпрометированных билетов Kerberos
в Активе
ОС Windows
Описание угрозы
Чтобы избежать обнаружения во время компрометации инфраструктуры злоумышленники могут попытаться обойти действующие системы защиты. Системы защиты можно обойти через удаление / отключение программного обеспечения безопасности, обфускацию / шифрование данных и сценариев. Злоумышленники также могут использовать надежные процессы, чтобы скрыть и замаскировать свои вредоносные программы.
Описание уязвимости
Передача билета (Pass the ticket, PtT) - это метод аутентификации в системе с использованием билетов Kerberos без доступа к паролю учетной записи. Аутентификацию Kerberos может быть использована в качестве первого шага для бокового перемещения в удаленную систему.
Действительные билеты Kerberos для действительных учетных записей могут быть скомпрометированы. В зависимости от уровня доступа злоумышленника могут быть получены билеты на обслуживание пользователя или билет на предоставление билетов (TGT).
Серебряный билет (Silver Ticket) можно получить для служб, которые используют Kerberos в качестве механизма аутентификации и используются для создания билетов для доступа к этому конкретному ресурсу и системе, в которой размещен ресурс.
Золотой билет (Golden Ticket) можно получить для домена с помощью хэша NTLM учетной записи службы распространения ключей KRBTGT, который позволяет генерировать TGTS для любой учетной записи в Active Directory.
Злоумышленник может “передать билет”, используя украденные билеты Kerberos, чтобы перемещаться в боковом направлении в среде, минуя обычный контроль доступа к системе.
Действительные билеты Kerberos для действительных учетных записей могут быть скомпрометированы. В зависимости от уровня доступа злоумышленника могут быть получены билеты на обслуживание пользователя или билет на предоставление билетов (TGT).
Серебряный билет (Silver Ticket) можно получить для служб, которые используют Kerberos в качестве механизма аутентификации и используются для создания билетов для доступа к этому конкретному ресурсу и системе, в которой размещен ресурс.
Золотой билет (Golden Ticket) можно получить для домена с помощью хэша NTLM учетной записи службы распространения ключей KRBTGT, который позволяет генерировать TGTS для любой учетной записи в Active Directory.
Злоумышленник может “передать билет”, используя украденные билеты Kerberos, чтобы перемещаться в боковом направлении в среде, минуя обычный контроль доступа к системе.
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Объекты атаки
Средство защиты информации
Классификация
КЦД:
Целостность
?
STRIDE:
Повышение привилегий
?
Источники угрозы
Внешний нарушитель -
Средний потенциал
?
Внутренний нарушитель -
Средний потенциал
?
Техники ATT@CK:
T1550.003
Use Alternate Authentication Material:
Pass the Ticket
Adversaries may “pass the ticket” using stolen Kerberos tickets to move laterally within an environment, bypassing normal system...
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
2
7 / 65
|
Настройка безопасного канала для обмена данными в домене Active Directory
Постоянно
Автоматически
Техническая
Превентивная
25.02.2022
|
25.02.2022 | 2 7 / 65 |