Atores maliciosos estão constantemente buscando maneiras de burlar os mecanismos de autenticação para conseguir acesso não autorizado. Uma tática comum é explorar vulnerabilidades em protocolos de autenticação como o Kerberos, amplamente utilizado para segurança de rede em ambientes do Microsoft Active Directory (AD).
Um ataque silver ticket é um ataque pós-exploração em que um adversário forja um ticket de serviço Kerberos (TGS) para acessar serviços específicos sem precisar de reautenticação pelo controlador de domínio. Ao contrário de um ataque Golden Ticket, que concede controle total do domínio, um ataque silver ticket é mais direcionado, permitindo que os adversários abusem de uma conta de serviço específica e burlem certos controles de segurança. Prevenir e detectar ataques silver ticket é fundamental para proteger a infraestrutura do Active Directory de uma organização.
O que é um ataque silver ticket?
Na autenticação Kerberos, "ticket" é um token criptográfico emitido pelo centro de distribuição de chaves (KDC) para autenticar usuários e conceder acesso a serviços.
Um "silver ticket" é um ticket de serviço falsificado que permite ao invasor autenticar-se diretamente em um serviço sem interagir com o KDC. Esses tickets falsificados são criptografados usando o hash da senha da conta de serviço, possibilitando o acesso ao serviço desejado sem um ticket de concessão (TGT) válido.
Ao contrário dos ataques Golden Ticket, que comprometem o hash da conta do ticket de concessão do Kerberos (KRBTGT), que garante persistência em todo o domínio, os ataques silver ticket exploram hashes de contas de serviço individuais, tornando-os mais difíceis de detectar e, muitas vezes, mais sigilosos.
Principais diferenças entre ataques de tickets do Kerberos
| Persistência | |||
|---|---|---|---|
| Golden Ticket | Controle total do domínio | Hash da conta KRBTGT | Longo prazo |
| Silver Ticket | Acesso a serviços desejados | Hash da conta de serviço | Limitado, mas sigiloso |
| Diamond Ticket | Reutilização de TGTs legítimos | TGT extraído da memória | Curto prazo |
Como os ataques silver ticket funcionam
Para executar um ataque silver ticket, o invasor precisa já ter acesso de administrador local em uma máquina comprometida e obter o hash NTLM da conta de serviço desejada. O ataque segue estas etapas:
- Coletar informações: o invasor coleta detalhes do domínio, como o Identificador de Segurança do Domínio (SID) e o nome DNS do serviço desejado.
- Obtenção do hash NTLM: o invasor extrai o hash NTLM de uma conta de serviço, geralmente de um serviço mal configurado que é executado com privilégios elevados. Ele pode conseguir isso com técnicas de dumping de credenciais usando ferramentas como o Mimikatz.
- Forjar um ticket de serviço (TGS): o invasor cria e criptografa um ticket de serviço falso usando o hash da conta de serviço roubada, permitindo a autenticação no serviço desejado.
- Usar o ticket falsificado: o invasor apresenta o TGS falsificado ao serviço, obtendo acesso sem nunca precisar de um ticket de concessão (TGT) do controlador de domínio (DC).
- Aumentar privilégios e movimentar-se lateralmente: os invasores podem usar o acesso silver ticket para executar código como a conta de serviço, aumentar seus privilégios no sistema local ou migrar para comprometer ainda mais o ambiente.
Prevenção de ataques silver ticket
Para prevenir ataques silver ticket, as organizações devem se concentrar em proteger as contas de serviço e monitorar comportamentos anormais de autenticação para detectar e mitigar possíveis ameaças.
1. Proteger o Active Directory
A implementação do princípio do privilégio mínimo garante que as contas de serviço tenham apenas as permissões mínimas necessárias para funcionar, reduzindo o risco de exploração. Com o monitoramento da atividade da conta de serviço, as organizações podem detectar comportamentos incomuns, como logins inesperados ou tentativas de acesso não autorizado. A randomização regular das senhas das contas de serviço reduz ainda mais a probabilidade de invasores manterem acesso persistente. Além disso, reforçar a segurança da conta KRBTGT, embora não esteja diretamente envolvida em ataques silver ticket, ajuda a limitar o movimento lateral e o comprometimento de todo o domínio.
2. Reduzir o risco de roubo de credenciais
Para minimizar o roubo de credenciais, as organizações devem implementar a autenticação multifatorial (MFA) para contas privilegiadas, tornando significativamente mais difícil para os invasores explorarem credenciais roubadas. Limitar o uso de contas de serviço, evitando a execução de serviços desnecessários com privilégios elevados também reduz a exposição. Usar contas de serviços gerenciados é outra estratégia eficaz, pois essas contas randomizam as senhas automaticamente, eliminando a necessidade de gerenciamento manual de senhas e reduzindo o risco de comprometimento.
3. Detectar e responder a ataques silver ticket
A detecção de um ataque silver ticket requer monitoramento contínuo da atividade de autenticação do Kerberos. As equipes de segurança devem procurar por atividades anômalas nos tickets de serviço (TGS), como tickets com duração excepcionalmente longa ou reutilizados, o que pode indicar um ataque em andamento. A inspeção dos logs de autenticação em busca de logins de contas de serviço em horários ou locais inesperados pode antecipar os sinais de comprometimento. As soluções de análise comportamental podem ajudar a identificar padrões de autenticação irregulares que se desviam do comportamento normal do usuário. Por fim, o uso de ferramentas de proteção de identidade em tempo real, como o CrowdStrike Falcon® Identity Protection, permite o monitoramento contínuo e a resposta automatizada a atividades suspeitas de tickets do Kerberos, garantindo uma detecção e mitigação de ameaças mais rápidas.
Ao implementar medidas de segurança proativas, monitorar continuamente o uso de contas de serviço e utilizar soluções avançadas de proteção de identidade, as organizações podem prevenir, detectar e mitigar ataques silver ticket antes que eles se transformem em incidentes de segurança em grande escala.
Relatório de Investigação de Ameaças 2024
No Relatório de Investigação de Ameaças 2024 da CrowdStrike, a CrowdStrike revela as mais recentes táticas de mais de 245 adversários modernos e mostra como esses adversários continuam a evoluir e emular o comportamento de usuários legítimos. Obtenha insights para ajudar a impedir ataques aqui.
Baixe agoraMitigar e responder a ataques silver ticket
Os ataques silver ticket são perigosos porque burlam a validação do controlador de domínio e permitem a elevação de privilégios de forma sigilosa. Se um ataque for detectado, as organizações devem agir rapidamente para conter a ameaça.
Etapas de resposta a incidentes (IR)
- Identificar a conta de serviço afetada: analisa os logs para determinar qual conta de serviço foi usada no ataque.
- Redefinir a senha da conta de serviço comprometida: isso invalida os silver tickets falsificados vinculados a essa conta.
- Analisar movimento lateral: determina se os invasores elevaram privilégios ou comprometeram outros sistemas.
- Reforçar os mecanismos de autenticação: garante que a autenticação multifatorial (MFA) seja aplicada a usuários privilegiados e que as permissões da conta de serviço sejam mínimas.
- Investigar a causa raiz: determina como o invasor obteve acesso inicial para evitar futuros ataques.
Contramedidas adicionais:
- Habilitar a validação do Certificado de Atributo Privilegiado (PAC): impede que invasores modifiquem os atributos do ticket do Kerberos.
- Implementar políticas de senhas fortes: uso de senhas longas e aleatórias para contas de serviço e troca frequente.
- Restringir privilégios administrativos: impede que invasores elevem o acesso silver ticket para um comprometimento completo do domínio.
Ao fortalecer a segurança de identidade, monitorar a atividade de autenticação e aplicar o princípio do menor privilégio, as organizações podem prevenir, detectar e mitigar ataques silver ticket antes que eles se transformem em comprometimentos de domínio em grande escala.
Proteção da superfície de ataque com a CrowdStrike
Um ataque silver ticket é uma técnica poderosa que os invasores usam para manter o acesso a um ambiente corporativo. Por explorar uma vulnerabilidade fundamental na autenticação do Kerberos, a prevenção exige uma abordagem de segurança em várias camadas, combinando proteção de identidade, segurança robusta do AD, detecção comportamental e investigação de ameaças proativa.
Unifique a detecção e a resposta em toda a sua stack de segurança com o CrowdStrike Falcon® XDR™ e o Falcon® Identity Protection para detectar e mitigar ameaças avançadas baseadas em identidade.
Kurt Baker é o Diretor Sênior de Marketing de Produtos da Falcon Intelligence na CrowdStrike. Ele tem mais de 25 anos de experiência em cargos de liderança sênior, especializando-se em empresas de software emergentes. Tem experiência em inteligência de ciberameaças, análise de segurança, gerenciamento de segurança e proteção avançada contra ameaças. Antes de ingressar na CrowdStrike, Baker trabalhou em cargos técnicos na Tripwire e foi cofundador de startups em mercados que vão desde soluções de segurança empresarial até dispositivos móveis. É bacharel em Letras pela Universidade de Washington e agora mora em Boston, Massachusetts.
