Техники: T1558 , T1558.001 , T1558.002 , T1558.003 , T1558.004 , T1558.005
Злоумышленники, имеющие хэш пароля учетной записи KRBTGT, могут подделать билеты Kerberos ticket-granting tickets (TGT), также известные как золотые билеты.(Цитата: AdSecurity Kerberos GT Aug 2015) Золотые билеты позволяют Злоумышленникам генерировать материалы для проверки подлинности для любой учетной записи в Active Directory.(Цитата: CERT-EU Golden Ticket Protection)
Используя золотой билет, Злоумышленники могут запросить билеты службы предоставления билетов (TGS), которые открывают доступ к определенным ресурсам.Золотые билеты требуют от Злоумышленников взаимодействия с центром распределения ключей (Key Distribution Center, KDC) для получения TGS.(Цит. по: ADSecurity Detecting Forged Tickets)
Служба KDC работает на контроллерах домена, входящих в домен Active Directory.KRBTGT - это учетная запись службы Kerberos Key Distribution Center (KDC), которая отвечает за шифрование и подписание всех билетов Kerberos.(Цитата: ADSecurity Kerberos and KRBTGT) Хэш пароля KRBTGT можно получить с помощью OS Credential Dumping и привилегированного доступа к контроллеру домена.
https://attack.mitre.org/techniques/T1558/001
Визуализация смежных техник для T1558.001
| № | Техника |
|---|
