Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1550.003 - Украденный билет Kerberos

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1550 , T1550.001 , T1550.002 , T1550.003 , T1550.004

Злоумышленники могут "передавать билет", используя украденные билеты Kerberos для перемещения внутри среды в обход обычных средств контроля доступа к системе. Pass the ticket (PtT) - это метод аутентификации в системе с помощью билетов Kerberos без доступа к паролю учетной записи. Аутентификация Kerberos может использоваться в качестве первого шага для латерального перемещения к удаленной системе.

При выполнении PtT действительные билеты Kerberos для Valid Accounts перехватываются с помощью OS Credential Dumping. В зависимости от уровня доступа могут быть получены служебные билеты пользователя или билет на предоставление доступа (TGT).Сервисный билет позволяет получить доступ к определенному ресурсу, в то время как TGT может использоваться для запроса сервисных билетов у службы предоставления билетов (Ticket Granting Service, TGS) для доступа к любому ресурсу, на который у пользователя есть привилегии.(Цитата: ADSecurity AD Kerberos Attacks)(Цитата: GentilKiwi Pass the Ticket)

Silver Ticket может быть получен для служб, использующих Kerberos в качестве механизма аутентификации и используемых для генерации билетов для доступа к данному ресурсу и системе, на которой расположен этот ресурс (например,(Цитата: ADSecurity AD Kerberos Attacks)

Золотой билет можно получить для домена с помощью NTLM-хэша учетной записи Key Distribution Service KRBTGT, который позволяет генерировать TGT для любой учетной записи в Active Directory.(Цитата: Campbell 2014)

Злоумышленники также могут создать действительный билет Kerberos, используя другую пользовательскую информацию, например украденные хэши паролей или ключи AES.Например, "обход хэша" подразумевает использование хэша пароля NTLM для аутентификации пользователя (например, Pass the Hash), а также использование хэша пароля для создания действительного билета Kerberos.(Цит. по: Stealthbits Overpass-the-Hash)

https://attack.mitre.org/techniques/T1550/003

← Назад

Визуализация смежных техник для T1550.003

Отрасль:
 с подтехниками
Техника

Закрыть