¿Qué es un ataque Golden Ticket?
Un ataque Golden Ticket es una técnica posterior al ataque en la que un atacante obtiene acceso casi ilimitado al dominio de una organización mediante la falsificación de tickets de autenticación en Microsoft Active Directory (AD). Este ataque aprovecha debilidades en el protocolo de autenticación Kerberos, lo que permite que un adversario mantenga un acceso persistente y se mueva lateralmente en la red sin comprobaciones normales de autenticación.
A medida que las organizaciones han seguido cambiando a entornos híbridos y en la nube, la superficie de ataque se ha expandido más allá de los perímetros tradicionales. Los ataques basados en la identidad han aumentado, lo que ha facilitado que los adversarios comprometan credenciales con privilegios y hagan un uso indebido de la autenticación Kerberos. Un ataque Golden Ticket permite a un atacante saltarse los controles de seguridad normales, evadir la detección y mantener acceso a largo plazo a sistemas críticos.
El ataque Golden Ticket corresponde a las categorías de persistencia y acceso a credenciales del marco MITRE ATT&CK:
- T1558.001 – Steal or Forge Kerberos Tickets (Credential Access) (Robar o falsificar tickets de Kerberos [acceso a credenciales])
- T1098 – Account Manipulation (Persistence) (Manipulación de cuentas [persistencia])
Este ataque permite el acceso a largo plazo aprovechando los tickets de concesión de tickets de Kerberos (KRBTGT) falsificados, lo que permite que un atacante se autentique como cualquier usuario, incluidos los administradores de dominio.
Historia de los ataques Golden Ticket
Los ataques Golden Ticket están estrechamente vinculados a Mimikatz, una herramienta de código abierto desarrollada en 2011 para señalar fallos de seguridad en los mecanismos de autenticación de Windows. Mimikatz permite a los ciberdelincuentes extraer credenciales, como hashes de contraseñas, tickets de Kerberos y hashes NTLM, que luego se utilizan en ataques de pass-the-hash y falsificación de tickets.
El término "Golden Ticket" proviene de su capacidad para proporcionar acceso casi sin restricciones al entorno de Active Directory de una organización, similar al billete dorado ficticio de Charlie y la fábrica de chocolate, salvo que en este caso, el premio es el control total sobre la infraestructura de TI de la organización.
Cómo funcionan los ataques Golden Ticket
La autenticación Kerberos depende de un centro de distribución de claves (KDC), que emite tickets de concesión de tickets (TGT) para la autenticación de usuarios. Los ciberdelincuentes hacen un uso indebido de este proceso falsificando tickets válidos de Kerberos.
Proceso de autenticación Kerberos legítimo
- Un usuario inicia sesión y el servidor de autenticación (AS) emite un TGT si las credenciales son válidas.
- El TGT se presenta al servidor de concesión de tickets (TGS) para acceder al servicio.
- El TGS verifica el TGT y concede al usuario acceso a recursos específicos.
Ejecución del ataque Golden Ticket
Para lanzar un ataque Golden Ticket, un ciberdelincuente debe tener ya privilegios de administrador de dominio con objeto de extraer el hash de la cuenta KRBTGT. El ataque sigue estos pasos:
1. Obtener información del dominio: el ciberdelincuente recopila detalles clave, lo que incluye:
- Nombre de dominio completo (FQDN)
- Identificador de seguridad del dominio (SID)
- Hash de cuenta KRBTGT (crucial para la falsificación de tickets)
2. Robar el hash KRBTGT: una vez que un ciberdelincuente obtiene acceso al controlador de dominio (DC), extrae el hash NTLM KRBTGT con herramientas como Mimikatz. Este hash les permite firmar sus propios tickets de Kerberos y saltarse los mecanismos de autenticación.
3. Falsificar un ticket de Kerberos: con el hash KRBTGT, los ciberdelincuentes crean un TGT con permisos arbitrarios y se conceden acceso de administrador de dominio.
4. Acceso persistente: el TGT falsificado puede configurarse para que permanezca válido durante años, lo que permite al ciberdelincuente:
- Acceder a cualquier sistema o servicio dentro del dominio.
- Crear o modificar cuentas de usuario.
- Evadir la detección apareciendo como usuario legítimo
A diferencia de los ataques Pass-the-Hash o Pass-the-Ticket, un ataque Golden Ticket no requiere reautenticación, lo que lo hace mucho más difícil de detectar.
Informe sobre Threat Hunting 2024
En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas.
Descargar ahoraCómo detectar ataques Golden Ticket
Detectar un ataque Golden Ticket es complicado porque los tickets de Kerberos falsificados parecen válidos. Sin embargo, los equipos de seguridad pueden detectar anomalías en la actividad de autenticación de Kerberos, lo que incluye:
- TGT con duraciones inusualmente largas: los ciberdelincuentes pueden configurar una larga vida útil de los tickets para mantener el acceso.
- Emisión de TGT para usuarios inexistentes: los tickets falsificados pueden contener nombres de usuario o SID que no existen.
- Actividad inusual de Kerberos por parte de cuentas privilegiadas: sobre todo si estas cuentas no se han utilizado recientemente.
- Reutilización de TGT en múltiples dispositivos: indica posible falsificación o reutilización de tickets de un ciberdelincuente.
Modificación de la cuenta KRBTGT: la modificación de KRBTGT sin justificación puede indicar que un ciberdelincuente está restableciendo su acceso.
Práctica recomendada de seguridad
Rota regularmente la contraseña de KRBTGT para invalidar hashes de tickets previamente robados y evitar persistencias a largo plazo.
¿Cómo puede el XDR ayudar a detectar ataques Golden Ticket?
Aunque las soluciones de detección y respuesta ampliadas (XDR) ofrecen visibilidad entre dominios, detectar ataques Golden Ticket requiere capacidades especializadas de protección de identidad. El XDR mejora la detección correlacionando eventos de autenticación Kerberos en todos los sistemas, identificando patrones de autenticación anormales vinculados a tickets falsificados y usando el análisis de comportamiento para detectar el movimiento lateral y la elevación de privilegios. Sin embargo, el XDR por sí solo puede no ser suficiente para detectar tickets de Kerberos falsificados. Integrar la monitorización de seguridad de Active Directory con XDR y soluciones de protección de identidad mejora significativamente las capacidades de detección.
Más información
CrowdStrike Falcon Identity Protection ayuda a detectar el uso no autorizado de tickets de Kerberos y refuerza la seguridad de la identidad.
Consejos para prevenir ataques Golden Ticket
Dado que los ataques Golden Ticket dependen del acceso después del ataque, las organizaciones deben centrarse tanto en prevenir compromisos iniciales como en proteger Active Directory (AD) para mitigar el riesgo.
Para proteger Active Directory, las organizaciones deben implementar principios de Zero Trust y garantizar que la verificación y autenticación continua de los usuarios. La aplicación del principio del mínimo de privilegios (POLP) limita el acceso del usuario solo a lo necesario, reduciendo la superficie de ataque. Además, monitorizar la actividad de las cuentas KRBTGT en busca de anomalías y rotar regularmente la contraseña de KRBTGT puede evitar que los atacantes reutilicen hashes robados.
Prevenir el robo de credenciales es igualmente fundamental. Las organizaciones deberían formar a sus empleados para que reconozcan los ataques de phishing, ya que la ingeniería social es un punto de entrada habitual para los adversarios. Implementar prácticas estrictas de higiene de TI, como la rotación periódica de las contraseñas y unas directivas estrictas de autenticación, refuerza aún más la seguridad. Aplicar la autenticación multifactor (MFA) para las cuentas con privilegios añade otra capa de protección y dificulta que los ciberdelincuentes aprovechen las credenciales robadas.
Por último, el Threat Hunting proactivo desempeña un papel crucial en la detección de ataques ocultos. Los equipos de seguridad deben monitorizar las actividades anómalas de tickets de Kerberos, utilizar análisis de comportamiento para identificar anomalías basadas en la identidad e implementar herramientas de protección de identidad en tiempo real. Soluciones como CrowdStrike Falcon Adversary OverWatch proporcionan monitorización y respuesta continuas, que ayudan a las organizaciones a interrumpir ataques Golden Ticket antes de que se agraven.
Protección de la superficie de ataque con CrowdStrike
Un ataque Golden Ticket es una de las técnicas más poderosas que utilizan los ciberdelincuentes para mantener un acceso persistente a un entorno empresarial. Dado que explota una debilidad fundamental en la autenticación Kerberos, la prevención requiere un enfoque de seguridad de varias capas que combine protección de identidad, sólida seguridad de AD, detección de comportamiento y Threat Hunting proactivo.
Unifica la detección y respuesta en toda tu pila de seguridad con CrowdStrike Falcon® XDR™ y Falcon® Identity Protection para detectar y mitigar las amenazas avanzadas basadas en la identidad.
Kurt Baker ocupa el cargo de Senior Director of Product Marketing para Falcon Intelligence de CrowdStrike. Cuenta con más de 25 años de experiencia en puestos directivos de alto nivel y su especialidad son las empresas de software emergentes. Es experto en inteligencia sobre amenazas, análisis de seguridad, gestión de la seguridad y protección avanzada frente a amenazas. Antes de incorporarse a CrowdStrike, Baker desempeñaba cargos técnicos en Tripwire y ha participado en la fundación de startups en mercados que van desde las soluciones de seguridad para empresas hasta los dispositivos móviles. Posee una licenciatura en filosofía y letras de la Universidad de Washington y en la actualidad reside en Boston, Massachusetts (EE. UU.).
