Ao contrário das técnicas pass-the-hash e pass-the-ticket, que envolvem credenciais roubadas, os ataques Golden Ticket e Silver Ticket envolvem a falsificação de tickets para obter acesso legítimo a uma rede.

Essas incursões podem ter consequências devastadoras a longo prazo. Como esses são ataques pós-exploração, você pode proteger sua rede observando as práticas recomendadas para evitar infiltrações. Devem ser tomadas medidas para educar seus funcionários, aplicar o princípio do menor privilégio e instalar o software de proteção de endpoint. Embora seja essencial tomar medidas preventivas, você também precisa saber como detectá-los.

 Ataques Golden Ticket   

 O que é um ataque Golden Ticket? 

Esse tipo de ataque é uma técnica usada para assumir o controle da conta de serviço de distribuição de chaves do Active Directory (KRBTGT) e emitir tickets de concessão de tickets (TGTs) para qualquer recurso ou serviço no domínio.

O Golden Ticket em si é o token de autenticação Kerberos para a conta KRBTGT, que é uma conta oculta que criptografa todos os tokens de autenticação para o controlador de domínio (DC). Os invasores com controle sobre a conta KRBTGT têm acesso desmarcado a todos os recursos do domínio e podem permanecer invisíveis por um longo tempo.

Como um Golden Ticket é forjado? 

Depois de obter o apoio inicial, o invasor realiza o reconhecimento para reunir as informações de domínio necessárias e localizar um controlador de domínio. Isso é seguido pela aquisição de acesso de nível de administrador local ao DC. O hash de senha KRBTGT é então coletado do DC usando ferramentas como Mimikatz ou técnicas como pass-the-hash e DCSync. Com o acesso em mãos, o invasor pode obter um Kerberos TGT por um período de validade de sua escolha. Isso lhes dá acesso à rede por um período indefinido.

Sinais indicadores de um ataque desse tipo 

Os ataques do Golden Ticket são notoriamente difíceis de detectar, pois o invasor já se infiltrou na rede e obteve acesso legítimo. No entanto, existem alguns sinais indicadores que podem ajudá-lo a identificar um ataque do Golden Ticket.

  •  Maior vida útil dos tickets 

A vida útil padrão dos tickets no Active Directory é geralmente de 10 horas. Quando ferramentas como o Mimikatz são usadas, a vida útil pode ser de até 10 anos.

  •  Irregularidades no campo de domínio 

Tickets forjados por invasores normalmente não têm campos de domínio preenchidos corretamente. Por exemplo, campos em branco, com um valor aleatório ou com um nome de domínio totalmente qualificado. Essas irregularidades podem ser observadas nos logs de eventos de segurança do Windows.

Criptografia fraca 

Outro sinal desse ataque é quando os tickets de serviço são criptografados com cifras mais fracas, como Rivest Cipher 4 (RC4) ou Data Encryption Standard, em vez do mais seguro Advanced Encryption Standard. Essas cifras podem ser detectadas quando o campo ‘Tipo de criptografia de ticket’ é algo diferente de “0x11” ou “0x12”. Isso pode ser encontrado no ID de evento 4769 e é indicativo de ataques Golden Ticket e Silver Ticket.

Detectando um ataque Golden Ticket 

Primeiro, você deve analisar e coletar logs críticos de servidores, VPNs, firewalls, IDPSs e estações de trabalho. E lembre-se, um ataque Golden Ticket é um ataque pós-exploração. Os administradores de segurança devem sempre estar atentos a atividades suspeitas de usuários e instalações de software, configurações incorretas de aplicações e outras vulnerabilidades, para que não se tornem um ponto de entrada em um ataque do Golden Ticket.

Para detectar os sinais reveladores de um ataque do Golden Ticket, aqui estão alguns IDs de evento úteis:

Event ID 4768

Um ticket de autenticação Kerberos foi solicitado.

Event ID 4769

Um ticket de serviço Kerberos foi solicitado.

Os logs de ID de evento 4769 são gerados quando um TGT é usado para solicitar um serviço de concessão de tickets (TGS). Ele registra informações cruciais, como o nome da conta que solicitou o serviço, nome de domínio correspondente, SID, nome do serviço, endereço do cliente e tipo de criptografia. O Log360 fornece um banco de dados de ameaças abrangente de endereços IP maliciosos com sua pontuação de reputação e um módulo de análise de ameaças avançado que detecta a comunicação com qualquer um desses URLs. O banco de dados é pré-configurado e atualizado automaticamente, permitindo que você detecte o primeiro sinal de uma intrusão e evitando que o invasor se estabeleça em sua rede.

Anomalias em qualquer um desses campos são indicativas de atividade suspeita e devem ser investigadas. O ID de evento 4768 é gerado quando um TGT é solicitado. Um ID de evento 4768 ausente antes de uma solicitação de ticket de serviço indica a presença de um Golden ticket. Existem outras IDs de evento importantes, como Event ID 4627 (que indica que uma conta foi conectada com sucesso) para identificar membros do grupo e Event ID 4624 para identificar o endereço IP do computador. Eles são úteis ao conduzir investigações adicionais.

Ataques Silver Ticket    

O que é um ataque Silver Ticket? 

Um ataque Silver Ticket é uma técnica usada para forjar um tíquete Kerberos TGS e obter acesso a um serviço em uma aplicação. O escopo é limitado apenas ao serviço comprometido, ao contrário do Golden Ticket, que dá poder sobre um domínio inteiro.

Como um Silver Ticket é forjado?   

Para forjar um ticket de serviço, o invasor precisa comprometer a conta de serviço. Ao coletar credenciais do Gerenciador de contas de segurança do computador, eles obtêm o hash de senha da conta de serviço. Isso pode ser usado para forjar tickets por meio da implantação de ferramentas como o Mimikatz. O invasor obtém acesso direto ao serviço sem entrar em contato com o DC.

 Detectando um ataque Silver Ticket 

Os Silver Tickets são gerados nos hosts comprometidos sem nenhuma comunicação com o DC, portanto, localizá-los pode ser complicado. No entanto, você pode começar coletando logs de todas as estações de trabalho.

Um evento TGS é registrado como ID de evento 4769. Esses registros devem ser monitorados quanto a anomalias, como novos nomes de usuário, criptografia RC4, campos em branco e o número de vezes que são gerados. Muitos acessos da mesma conta indicam um possível ataque.

Além disso, observe os campos em branco nos eventos de logon e logoff do Windows, como IDs de evento 4624, 4634 e 4672. Todos eles sinalizam a presença de agentes suspeitos em sua rede.

 Detectando os dois ataques com Log360 

Log360, a solução SIEM abrangente da ManageEngine, pode ajudá-lo a localizar indicadores de ataques Golden Ticket e Silver Ticket.

Detecção de invasão

Ambos são ataques pós-exploração, o que significa que o invasor deve primeiro estabelecer uma base na rede. O Log360 reduz o tempo necessário para detectar comprometimentos, detectando os sinais iniciais de um ataque.

Firewall extensivo e auditoria de IDS / IPS:

O Log360 audita logs de firewall, incluindo mudanças nas políticas, gerenciamento, e logs de IDPSs. Ele pode alertá-lo sobre esses eventos por meio de notificações por e-mail e SMS. A solução detecta com sucesso qualquer intruso e ajuda a identificar fontes potenciais de comprometimento da conta.

Banco de dados de ameaças pré-configurado e atualizado automaticamente:

O Log360 fornece um banco de dados de ameaças abrangente de endereços IP maliciosos com sua pontuação de reputação e um módulo de análise de ameaças avançado que detecta a comunicação com qualquer um desses URLs. O banco de dados é pré-configurado e atualizado automaticamente, permitindo que você detecte o primeiro sinal de uma intrusão e evitando que o invasor se estabeleça em sua rede.

Análise de comportamento de usuário e entidade (UEBA):

O módulo UEBA do Log360 detecta o comprometimento da conta observando e identificando o comportamento incomum do usuário na rede. Observando os sinais que incluem horários de logon incomuns, acesso incomum a arquivos e conexão de um sistema remoto, o UEBA sinaliza qualquer ação incomum do usuário como “arriscada”. Quando a pontuação de risco de um usuário excede um limite designado, o administrador de segurança é alertado e pode investigar mais para determinar se a conta do usuário está comprometida.

Investigação de eventos críticos

O Log360 apresenta um poderoso mecanismo de pesquisa que pode realizar pesquisas de alta velocidade em toda a extensão da sua rede. O console de pesquisa fornece uma opção avançada de construção de consulta fácil que permite a você criar consultas rapidamente.

O mecanismo de pesquisa é otimizado para pesquisas simples, como ID de evento ou frases do log, ou consultas complexas criadas usando operadores booleanos, de comparação e curinga.

Para detectar indicadores de ataques Golden Ticket e Silver Ticket, você pode procurar por Event ID 4768, 4769 e 4770. O Log360 permite adicionar essas pesquisas como alertas para que sequências semelhantes sejam detectadas automaticamente e o administrador de segurança seja notificado de forma proativa.

Log360: uma solução da ManageEngine

ManageEngine Log360, uma solução integrada que combina ADAudit Plus e EventLog Analyzer em um único console, é a solução completa para todos os desafios de gerenciamento de log e segurança de rede. Esta solução oferece recursos de coleta, análise, monitoramento, correlação e arquivamento de logs em tempo real que ajudam a proteger dados confidenciais, impedir ameaças à segurança interna e combater ataques externos. O Log360 vem com mais de 1.200 relatórios predefinidos e critérios de alerta para ajudar as empresas a atender às demandas mais urgentes de segurança, auditoria e conformidade.

Para saber mais sobre ataques de roubos de credenciais que podem estar acontecendo na sua organização agora mesmo e sem o seu conhecimento, confira nosso post aqui. E para obter mais informações sobre o Log360, visite manageengine.com/br/log-management.