Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Передача билета (Pass the ticket, PtT) - это метод аутентификации в системе с использованием билетов Kerberos без доступа к паролю учетной записи. Аутентификацию Kerberos может быть использована в качестве первого шага для бокового перемещения в удаленную систему.
Действительные билеты Kerberos для действительных учетных записей могут быть скомпрометированы. В зависимости от уровня доступа злоумышленника могут быть получены билеты на обслуживание пользователя или билет на предоставление билетов (TGT).
Серебряный билет (Silver Ticket) можно получить для служб, которые используют Kerberos в качестве механизма аутентификации и используются для создания билетов для доступа к этому конкретному ресурсу и системе, в которой размещен ресурс.
Золотой билет (Golden Ticket) можно получить для домена с помощью хэша NTLM учетной записи службы распространения ключей KRBTGT, который позволяет генерировать TGTS для любой учетной записи в Active Directory.
Злоумышленник может “передать билет”, используя украденные билеты Kerberos, чтобы перемещаться в боковом направлении в среде, минуя обычный контроль доступа к системе.
Действительные билеты Kerberos для действительных учетных записей могут быть скомпрометированы. В зависимости от уровня доступа злоумышленника могут быть получены билеты на обслуживание пользователя или билет на предоставление билетов (TGT).
Серебряный билет (Silver Ticket) можно получить для служб, которые используют Kerberos в качестве механизма аутентификации и используются для создания билетов для доступа к этому конкретному ресурсу и системе, в которой размещен ресурс.
Золотой билет (Golden Ticket) можно получить для домена с помощью хэша NTLM учетной записи службы распространения ключей KRBTGT, который позволяет генерировать TGTS для любой учетной записи в Active Directory.
Злоумышленник может “передать билет”, используя украденные билеты Kerberos, чтобы перемещаться в боковом направлении в среде, минуя обычный контроль доступа к системе.
Техники ATT@CK:
T1550.003
Use Alternate Authentication Material:
Pass the Ticket
Adversaries may “pass the ticket” using stolen Kerberos tickets to move laterally within an environment, bypassing normal system...
Связанные риски
| Риск | Угроза | Уязвимость | Тип актива | Связи | |
|---|---|---|---|---|---|
|
Обход систем защиты
из-за
возможности использования скомпрометированных билетов Kerberos
в ОС Windows
Повышение привилегий
Целостность
|
Обход систем защиты
Повышение привилегий
Целостность
|
Возможность использования скомпрометированных билетов Kerberos | ОС Windows | 1 | |
|
Боковое перемещение злоумышленника по локальной сети
из-за
возможности использования скомпрометированных билетов Kerberos
в ОС Windows
Конфиденциальность
Целостность
|
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность
Целостность
|
Возможность использования скомпрометированных билетов Kerberos | ОС Windows | 2 |