Ataque Golden Ticket: o que é e como se defender

O que é um ataque Golden Ticket?

Um ataque Golden Ticket é uma técnica de pós-exploração em que um ator de ameaças obtém acesso quase irrestrito ao domínio de uma organização falsificando tickets de autenticação no Microsoft Active Directory (AD). Este ataque explora as vulnerabilidades no protocolo de autenticação Kerberos, permitindo que um adversário mantenha acesso persistente e se movimente lateralmente dentro da rede sem as verificações de autenticação normais.

À medida que as organizações continuam a migrar para ambientes de nuvem e híbridos, a superfície de ataque expandiu-se para além dos perímetros tradicionais. Com o aumento dos ataques baseados em identidade, ficou mais fácil para os adversários comprometerem credenciais privilegiadas e abusarem da autenticação Kerberos. Um ataque Golden Ticket permite que um ator de ameaças ignore os controles de segurança normais, evite a detecção e mantenha acesso duradouro a sistemas críticos.

O ataque Golden Ticket direciona ao framework MITRE ATT&CK em Persistência e Acesso a Credenciais:

• T1558.001 – Roubo ou falsificação de tickets do Kerberos (acesso a credenciais)
• T1098 – Manipulação de conta (persistência)

Este ataque possibilita o acesso a longo prazo através da utilização de tickets de concessão do Kerberos (KRBTGTs) falsificados, permitindo que um invasor se autentique como qualquer usuário, incluindo administradores de domínio.

A história dos ataques Golden Ticket

Os ataques Golden Ticket estão intimamente ligados ao Mimikatz, uma ferramenta de código aberto desenvolvida em 2011 para destacar falhas de segurança nos mecanismos de autenticação do Windows. O Mimikatz permite que invasores extraiam credenciais, incluindo hashes de senhas, tickets do Kerberos e hashes NTLM, que são então usados em ataques pass-the-hash e falsificação de tickets.

O termo "golden ticket" vem da sua capacidade de fornecer acesso quase irrestrito ao ambiente do Active Directory de uma organização, semelhante ao bilhete dourado fictício de "A Fantástica Fábrica de Chocolate", exceto que, neste caso, o prêmio é o controle total sobre a infraestrutura de TI da organização.

Como os ataques Golden Ticket funcionam

A autenticação Kerberos depende de um centro de distribuição de chaves (KDC), que emite tickets de concessão (TGTs) para a autenticação do usuário. Os invasores abusam desse processo falsificando tickets válidos do Kerberos.

Processo de autenticação legítimo do Kerberos

• Um usuário faz login e o servidor de autenticação (AS) emite um TGT se as credenciais forem válidas.
• O TGT é apresentado ao servidor de concessão de tickets (TGS) para acesso ao serviço.
• O TGS verifica o TGT e concede ao usuário acesso a recursos específicos.

Execução do ataque Golden Ticket

Para executar um ataque Golden Ticket, o invasor precisa ter privilégios de administrador de domínio para extrair o hash da conta KRBTGT. O ataque segue estas etapas:

1. Obtenção de informações de domínio: invasor coleta detalhes importantes, incluindo:

• Nome de domínio totalmente qualificado (FQDN)
• Identificador de segurança de domínio (SID)
• Hash da conta KRBTGT (fundamental para falsificação de tickets)

2. Roubo do hash KRBTGT: assim que um invasor obtém acesso ao controlador de domínio (DC), ele extrai o hash NTLM do KRBTGT usando ferramentas como o Mimikatz. Esse hash permite que o invasor assine seus próprios tickets do Kerberos, ignorando os mecanismos de autenticação.

3. Forjar um ticket do Kerberos: com o hash KRBTGT, os invasores criam um TGT com permissões arbitrárias, concedendo a si mesmos acesso de administrador de domínio.

4. Acesso persistente: o TGT falsificado pode ser configurado para permanecer válido por anos, permitindo ao invasor:

• Acessar qualquer sistema ou serviço dentro do domínio.
• Criar ou modificar contas de usuário.
• Evitar a detecção fingindo ser um usuário legítimo.

Diferentemente dos ataques pass-the-hash ou pass-the-ticket, um ataque Golden Ticket não requer reautenticação, o que o torna significativamente mais difícil de detectar.

Como detectar ataques Golden Ticket

Detectar um ataque Golden Ticket é um desafio, pois os tickets do Kerberos falsificados parecem válidos. No entanto, as equipes de segurança podem procurar anomalias na atividade de autenticação do Kerberos, incluindo:

• TGTs com tempos de vida excepcionalmente longos: os invasores podem definir tempos de vida de tickets prolongados para manter o acesso.
• TGTs emitidos para usuários inexistentes: os tickets falsificados podem conter nomes de usuário ou SIDs que não existem.
• Atividade incomum do Kerberos em contas privilegiadas: especialmente se essas contas não foram usadas recentemente.
• Reutilização do TGT em vários dispositivos: indica possível falsificação ou reutilização de tickets por um invasor.

Modificação da conta do KRBTGT: se a conta do KRBTGT for alterada sem explicação, isso pode indicar que um invasor redefiniu seu acesso.

Como o XDR ajuda na detecção de ataques Golden Ticket

Embora as soluções de Detecção e Resposta Estendidas (XDR) ofereçam visibilidade entre domínios, a detecção de ataques Golden Ticket requer capacidades especializadas de proteção de identidade. O XDR aprimora a detecção correlacionando eventos de autenticação do Kerberos em diferentes sistemas, identificando padrões de autenticação anormais vinculados a tickets falsificados e utilizando análises comportamentais para detectar movimento lateral e elevação de privilégios. No entanto, a Detecção e Resposta Estendidas (XDR) autônomas podem não ser suficientes para detectar tickets falsificados do Kerberos. A integração do monitoramento de segurança do Active Directory com soluções de XDR e proteção de identidade melhora significativamente as capacidades de detecção.

Dicas para evitar ataques Golden Ticket

Como os ataques Golden Ticket dependem do acesso pós-exploração, as organizações devem se concentrar tanto na prevenção do comprometimento inicial quanto na proteção do Active Directory (AD) para reduzir os riscos.

Para proteger o Active Directory, as organizações devem implementar os princípios de Zero Trust, que exigem verificação e autenticação contínuas dos usuários. A aplicação do princípio do privilégio mínimo limita o acesso do usuário apenas ao necessário, reduzindo a superfície de ataque. Além disso, monitorar a atividade da conta do KRBTGT em busca de anomalias e randomizar regularmente a senha do KRBTGT pode impedir que invasores reutilizem hashes roubados.

Prevenir o roubo de credenciais é igualmente crucial. As organizações precisam treinar seus funcionários para reconhecer ataques de phishing, já que a engenharia social é um ponto de entrada comum para adversários. A implementação de práticas sólidas de higiene de TI, como a randomização regular de senhas e políticas de autenticação rigorosas, fortalece ainda mais a segurança. A aplicação da autenticação multifatorial (MFA) para contas privilegiadas adiciona mais uma camada de proteção, dificultando que invasores explorem credenciais roubadas.

Por fim, a investigação de ameaças proativa desempenha um papel crucial na detecção de ataques ocultos. As equipes de segurança devem monitorar atividades anormais em tickets do Kerberos, usar análises comportamentais para identificar anomalias baseadas em identidade e implementar ferramentas de proteção de identidade em tempo real. Soluções como o CrowdStrike Falcon Adversary OverWatch fornecem monitoramento e resposta contínuos, ajudando as organizações a conter ataques Golden Ticket antes que eles se agravem.

Proteção da superfície de ataque com a CrowdStrike

Um ataque Golden Ticket é uma das técnicas mais poderosas que os invasores usam para manter o acesso persistente a um ambiente corporativo. Por explorar uma vulnerabilidade fundamental na autenticação do Kerberos, a prevenção exige uma abordagem de segurança em várias camadas, combinando proteção de identidade, segurança robusta do AD, detecção comportamental e investigação de ameaças proativa.

Unifique a detecção e a resposta em toda a sua stack de segurança com o CrowdStrike Falcon® XDR™ e o Falcon® Identity Protection para detectar e mitigar ameaças avançadas baseadas em identidade.