Atak Golden Ticket ma miejsce wtedy, gdy osoba atakująca ma pełny i nieograniczony dostęp do całej domeny. Do wszystkich komputerów, plików, folderów i, co najważniejsze, samego systemu kontroli dostępu.
Ataki Golden Ticket mogą być przeprowadzane przeciwko domenom Active Directory. W nich kontrola dostępu jest realizowana za pomocą biletów Kerberos wystawianych uwierzytelnionym użytkownikom przez usługę dystrybucji kluczy. Atakujący uzyskuje kontrolę nad kontem usługi dystrybucji kluczy domeny (konto KRBTGT), kradnąc jego skrót NTLM. Dzięki temu osoba atakująca może generować bilety przyznawania biletów (TGT – ang. Ticket Granting Ticket) dla dowolnego konta w domenie Active Directory. Z ważnymi biletami TGT atakujący może zażądać dostępu do dowolnego zasobu/systemu w swojej domenie z usługi Ticket Granting Service (TGS).
Ponieważ atakujący kontroluje komponent systemu kontroli dostępu, który jest odpowiedzialny za wydawanie biletów przyznawania biletów (TGT), ma złoty bilet na dostęp do dowolnego zasobu w domenie.
CO TO JEST KONTO KRBTGT?
KRBTGT to konto usługi dystrybucji kluczy.
ATAK GOLDEN TICKET – JAKA JEST RÓŻNICA MIĘDZY PASS THE HASH?
Pass the hash to forma zrzutu poświadczeń służąca do uzyskania dostępu do konta Key Distribution Service. Dostęp do konta systemowego jest uważany za złoty bilet, który umożliwia atakującemu uzyskanie innych biletów, które uzyskują dostęp do określonych zasobów.
JAKI JEST ZWIĄZEK MIĘDZY MIMIKATZ A ZŁOTYM BILETEM?
Mimikatz służy do zrzutu poświadczeń, uzyskując loginy i hasła do kont Windows w postaci zwykłego tekstu. Implementuje określone moduły niezbędne do wyodrębnienia skrótu konta KRBTGT i tworzenia/używania biletów Kerberos.
