Golden ticket

Atak Golden Ticket – specyficzny typ cyberataku mający na celu przejęcie kontroli nad systemem dostępu w środowisku Microsoft Windows, zwłaszcza za pomocą usługi Active Directory (AD). Atak ten wykorzystuje pewne nieprawidłowości w protokole uwierzytelniania Kerberos, który jest stosowany przez Microsoft[1][2].

W hierarchii usługi Active Directory kluczowym kontem jest krbtgt[3], które odgrywa kluczową rolę w szyfrowaniu i podpisywaniu wszystkich biletów dostępnych w protokole Kerberos w danej domenie. Kontrolery domeny używają hasła do konta krbtgt w celu odszyfrowania biletów Kerberos. Hasło do tego konta jest stałe, a nazwa konta jest taka sama we wszystkich domenach[4].

Mechanizm ataku

Wykonanie ataku Golden Ticket wymaga posiadania określonych danych, w tym pełnej nazwy domeny, znacznika SID domeny oraz hasha NTLM konta krbtgt. Atak przebiega według następującego schematu:

  1. Przejęcie informacji o koncie krbtgt.
  2. Wygenerowanie bezterminowego biletu dla dowolnego konta, zazwyczaj dla konta, które jest trudne do wykrycia, tak zwanej domeny „ghost”.
  3. Przejęcie uprawnień administratora przez cyberprzestępcę.
  4. Zmiana haseł dostępu, co powoduje uniemożliwienie poprzedniemu administratorowi logowania się na swoje konto[4].

Skutkiem tego ataku jest uzyskanie przez cyberprzestępcę, mającego teraz uprawnienia administratora, dostępu do najważniejszych plików firmy. Może on zdalnie infekować i blokować każdy komputer w przedsiębiorstwie. Często celem ataku Golden Ticket jest wymuszenie okupu. Po ataku przestępcy nawiązują kontakt i domagają się opłaty za klucz do odszyfrowania danych. Jeżeli okup nie zostanie opłacony, przestępcy mogą zaszyfrować dostęp do wszystkich urządzeń podłączonych do sieci Microsoft[2].

Prewencja

W celu zabezpieczenia systemu przed atakiem Golden Ticket zalecane jest podjęcie szeregu działań zapobiegawczych. Należy:

  • wymieniać często hasło do konta krbtgt;
  • ograniczyć liczbę kont mogących logować się do kontrolera domeny;
  • nie zezwalać na logowanie się administratora na komputerach użytkowników końcowych;
  • wdrożyć wieloskładnikowe uwierzytelnianie (MFA) do wszystkich zewnętrznych systemów uwierzytelniania oraz do wszystkich wewnętrznych systemów krytycznych;
  • regularne monitorowanie bezpieczeństwa środowiska IT[2].

Przypisy

  1. What is a Golden Ticket Attack? – CrowdStrike [online], crowdstrike.com [dostęp 2023-06-20] (ang.).
  2. a b c Atak Golden Ticket, czyli game over dla firm. [online], sebitu.pl, 1 lutego 2022 [dostęp 2023-06-20] (pol.).
  3. Dansimp, Active Directory Accounts [online], learn.microsoft.com, 18 maja 2023 [dostęp 2023-06-20] (ang.).
  4. a b Basem Ibrahim Mokhtar i inni, Active Directory Attacks – Steps, Types, and Signatures, „Electronics”, 11 (16), 2022, s. 2629, DOI10.3390/electronics11162629, ISSN 2079-9292 [dostęp 2023-06-20] (ang.).