Sean Deuby | Tecnólogo principal

En la novela de Roald Dahl de 1964 Charlie y la fábrica de chocolate, el enigmático Willy Wonka esconde cinco billetes dorados entre las chocolatinas de su fábrica. Aquellos que encuentran los boletos ganan el honor de acceder entre bastidores a las instalaciones de su empresa. En el mundo digital, los Billetes Dorados también dan acceso, pero a algo mucho más valioso que una fábrica misteriosa: el entorno informático de su organización.

Lecturas relacionadas

Su billete, por favor

A modo de introducción rápida: cuando un cliente de PC se autentica en un dominio, el centro de distribución de claves Kerberos (KDC) del controlador de dominio (DC) de autenticación proporciona al cliente un vale de acceso (TGT). Este vale TGT permite al cliente solicitar un vale de servicio al KDC para acceder a un servicio (por ejemplo, un servidor de archivos). El centro de distribución de claves envía el vale de servicio al cliente, cifrado con el valor hash de la contraseña de la cuenta de servicio. El cliente pasa el ticket al servicio, que lo descifra y concede al cliente acceso al servicio.

La cuenta krbtgt funciona como una cuenta de servicio para el servicio KDC. Con el control de la cuenta krbtgt, los atacantes pueden crear TGTs fraudulentos para acceder a cualquier recurso que deseen. Este escenario es la esencia de un ataque Golden Ticket. Si se realizan con éxito, los ataques Golden Ticket permiten a los actores de amenazas hacerse pasar por cualquier usuario. El ataque es difícil de detectar y puede ser utilizado por los actores de amenazas para persistir bajo el radar durante largos períodos de tiempo.

El lanzamiento del ataque requiere que el atacante ya haya comprometido una cuenta con privilegios elevados que pueda acceder al controlador de dominio. Cada controlador de dominio en el entorno AD ejecuta un KDC. Una vez que tenga acceso al controlador de dominio, el atacante puede utilizar una herramienta como Mimikatz para robar el hash NTLM de la cuenta krbtgt.

Con el hash de la contraseña krbtgt en la mano, el actor de la amenaza sólo necesita lo siguiente para crear un TGT:

  • Nombre de dominio completo (FQDN) del dominio
  • Identificador de seguridad (SID) del dominio
  • El nombre de usuario de la cuenta a la que se dirigen.

Aunque los TGT suelen ser válidos durante 10 horas por defecto, un atacante puede hacer que el TGT sea válido durante cualquier periodo de tiempo, hasta 10 años. Por esta razón, es fundamental contar con una estrategia para detectar, mitigar y remediar estos ataques.

Utilice medidas básicas de higiene de seguridad para protegerse de los ataques del Golden Ticket

La prevención de los ataques Golden Ticket comienza con una higiene de seguridad básica. Los adversarios no pueden lanzar el ataque sin comprometer primero el entorno, por lo que las organizaciones pueden empezar por implantar una defensa en capas para reducir la superficie de ataque y elevar la barrera de entrada.

  1. Prevención del robo de credenciales: La primera capa implica la prevención del robo de credenciales. Es fundamental bloquear los ataques de malware y phishing que roban credenciales, para lo que se debe combinar la formación en seguridad de los empleados con la seguridad de la red y de los puntos finales. La eliminación de contraseñas comunes de su directorio mediante el uso de un filtro de contraseñas personalizado como Azure AD Password Protection reducirá la posibilidad de que un ataque de rociado de contraseñas tenga éxito. Cualquier actividad de Mimikatz que no esté dirigida por el equipo Red de su organización o por un pen tester autorizado es una clara señal de que han llegado los atacantes.
  2. Mantener la seguridad de AD: La siguiente capa consiste en levantar el muro del castillo alrededor del propio AD. Dado que un ataque Golden Ticket requiere acceso privilegiado a un controlador de dominio, la aplicación del principio de mínimo privilegio es crucial para mantener la seguridad de AD. Los equipos de AD deben mantener al mínimo el número de cuentas de usuario y de servicio con acceso a los DC. Las cuentas con permisos de administrador de dominio o de "replicación de cambios de directorio" pueden utilizarse para lanzar ataques de DCSync, que permiten robar el hash krbtgt.
  3. Buscar billetes falsos: Al igual que los billetes de dólar falsos, los billetes falsos pueden descubrirse buscando comportamientos inusuales de los usuarios y examinando el billete en busca de signos reveladores. Por ejemplo, errores como la falta de coincidencia entre el nombre de usuario y el ID relativo (RID) o alteraciones en la vida útil del ticket pueden ser indicadores de actividad maliciosa. Además, también es importante supervisar AD para detectar actividades inusuales, como cambios en la pertenencia a grupos.
  4. Tener cuidado al cambiar la contraseña krbtgt: Uno de los consejos más comunes para hacer frente a los ataques Golden Ticket es cambiar la contraseña krbtgt cada 180 días. Esto no debe hacerse casualmente, ya que causará temporalmente fallos de validación del Certificado de Atributo Privilegiado (PAC). El mejor método para actualizar la contraseña es estudiar y ejecutar el script de restablecimiento de contraseña de la cuenta k rbtgt (proporcionado por el MVP de Microsoft Jorge de Almeida Pinto, se trata de un script de restablecimiento que se actualiza continuamente), que también permite a las organizaciones validar que todos los DC con capacidad de escritura del dominio han replicado las claves derivadas del nuevo hash de la contraseña. Cambiar la contraseña krbtgt cada 180 días es una buena práctica. Sin embargo, los equipos de AD también deben considerar cambiarla cada vez que un empleado que podría crear un Golden Ticket abandone la organización. Esta medida reduce el riesgo de que un antiguo empleado descontento utilice un ticket falsificado con fines malintencionados. Es importante recordar que si se detecta un ataque con un Golden Ticket, la contraseña deberá restablecerse dos veces para mitigar el ataque. ¿Por qué? Porque la cuenta krbtgt recuerda las dos contraseñas anteriores, por lo que restablecer la contraseña dos veces es necesario para evitar que otro DC utilice una contraseña antigua para replicarse con el DC afectado. Como advertencia, cambiar la contraseña dos veces antes de que la contraseña pueda replicarse en todo el entorno puede interrumpir el acceso a la red, así que tómese su tiempo y asegúrese de que la primera actualización se ha propagado a todos los DC.

Construir una defensa sólida contra los ataques del Billete Dorado

Mitigar y responder a un ataque Golden Ticket es difícil. Sin embargo, dado que estos ataques pueden allanar el camino para el robo de datos a gran escala y el ransomware, es vital tener en cuenta los ataques Golden Ticket en sus escenarios de recuperación AD y respuesta a incidentes.

Asegúrese de que se ha determinado el alcance de la actividad de los atacantes antes de reconstruir los sistemas afectados y restablecer las cuentas, para que el actor sepa que ha detectado su actividad. Asegúrese de que dispone de una copia de seguridad offline e, idealmente, de un bosque recuperado y aislado, de modo que si el agresor detona la carga útil del ransomware, siga disponiendo de un bosque de AD viable. Sólo mediante la plena comprensión de los daños causados pueden las organizaciones estar seguras de que han cerrado completamente la puerta a los atacantes y les han impedido mantener un punto de apoyo.