En el complejo mundo de la ciberseguridad, los ataques Golden Ticket y Silver Ticket destacan como dos métodos astutos dirigidos contra el sistema de autenticación Kerberos. Aunque ambos ataques explotan el mismo sistema, sus enfoques, objetivos e implicaciones difieren. Esto es lo que necesita saber sobre los ataques Silver Ticket, incluyendo en qué se diferencian de los ataques Golden Ticket.
¿Qué es un ataque Silver Ticket?
Un Silver Ticket es un ticket falsificado del Servicio de Concesión de Tickets (TGS) de Kerberos que se crea para un servicio específico en un equipo específico. Un ataque Silver Ticket exitoso da al actor de la amenaza la capacidad de falsificar un TGS Kerberos específico para cualquier servicio en el dominio. Este enfoque ofrece a los atacantes un acceso más limitado que los ataques Golden Ticket, que permiten a los actores de amenazas falsificar un Ticket de Concesión Kerberos (TGT) para cualquier usuario del dominio, lo que otorga al atacante acceso a todo el dominio.
En los ataques con Silver Ticket, el acceso está limitado al servicio específico para el que se ha creado el ticket. Sin embargo, el ticket falsificado no necesita ser validado por el KDC después de su creación. El sigiloso ataque Silver Ticket no concede el amplio acceso de su homólogo Golden, pero puede causar daños significativos cuando se utiliza para servicios críticos como servidores de archivos o bases de datos.
Por ejemplo, si un atacante obtiene el hash de una cuenta de servicio de SQL Server, puede crear un Silver Ticket para acceder a la instancia de SQL Server. A continuación, puede consultar bases de datos o incluso inyectar comandos SQL maliciosos, todo ello sin necesidad de solicitar un TGS al KDC.
Estos son los pasos que siguen los atacantes en un ataque Silver Ticket:
- El atacante compromete una cuenta de servicio o de máquina para extraer su hash NTLM.
- Usando ese hash, el atacante crea un TGS para el servicio especificado.
- El atacante presenta el TGS para acceder al servicio objetivo, sin necesidad de interactuar con el KDC.
Tanto Golden Tickets como Silver Tickets son ataques de falsificación de tickets de Kerberos en entornos de Active Directory. La detección de los ataques Golden Ticket y Silver Ticket puede resultar complicada debido a la apariencia legítima de los tickets falsificados. Sin embargo, existen indicadores y tácticas específicos que pueden ayudarle a identificar estos ataques.
Cómo detectar un ataque Silver Ticket
- Desajuste de servicios: Tenga cuidado con cualquier TGS que se presente a un servicio que no haya solicitado su validación al KDC. Por ejemplo, si se presenta un TGS para un servidor SQL, pero el KDC no tiene ningún registro de la concesión de dicho ticket, sospeche mucho.
- Registros de eventos: Windows Event ID 4769 (en la máquina del servicio atacado) muestra cuando se utiliza un ticket de servicio. Si no ves un Evento ID 4768 correspondiente (que muestra un TGT siendo presentado al KDC para un TGS) para la misma cuenta en proximidad cercana, un ataque Silver Ticket podría estar en marcha.
- Anomalías en los metadatos de los tickets: Los tickets falsificados pueden contener metadatos o permisos que no coincidan con la base organizativa o las configuraciones estándar.
- Comportamiento anormal del servicio: Busque servicios a los que se acceda en momentos extraños o por cuentas que normalmente no utilizan el servicio.
¿En qué se diferencian los ataques con Silver Ticket de los ataques con Golden Ticket?
Al igual que un Silver Ticket, un Golden Ticket es un Ticket Granting Ticket (TGT) falsificado que los atacantes crean tras obtener acceso a la cuenta KRBTGT del dominio, la cuenta utilizada por el Key Distribution Center (TGTKDC) para cifrar y firmar todos los TGT. En otras palabras, un Silver Ticket es la llave de una habitación específica; un Golden Ticket es la llave de todo el edificio.
A diferencia de los ataques más especializados Silver Ticket, los ataques Golden Ticket permiten el acceso persistente a todo el dominio. El atacante puede hacerse pasar por cualquier usuario, elevar privilegios y acceder a cualquier servicio mientras el hash KRBTGT permanezca inalterado.
La verdadera amenaza de un Golden Ticket reside en su amplio alcance. Los atacantes, una vez equipados con un Golden Ticket, pueden moverse lateralmente por la red, accediendo a diversos recursos, manipulando los permisos de los usuarios e incluso creando nuevas credenciales. El Billete Dorado es una llave maestra, que elude la autenticación estándar y otorga a los atacantes amplios privilegios en la red. Por ejemplo, una vez que un atacante obtiene el hash KRBTGT, puede crear un TGT para un administrador de dominio y, a continuación, solicitar TGS para servicios como recursos compartidos de archivos, escritorio remoto o cualquier otro servicio dentro del dominio.
Los ataques con Silver Ticket difieren de los ataques con Golden Ticket en varios aspectos:
- Alcance: Los Tickets Dorados proporcionan acceso a todo el dominio, por lo que las anomalías pueden ser más generalizadas. Los Silver Tickets se dirigen a servicios específicos.
- Interacciones con el KDC: Los ataques Golden Ticket interactúan con el KDC con más frecuencia (para solicitar TGS para diversos servicios) que los ataques Silver Ticket, que podrían eludir el KDC tras la creación inicial del ticket falso.
- Registro: Para los Golden Tickets, deben inspeccionarse tanto los registros TGT como los TGS. En el caso de los ataques con Silver Tickets, se debe hacer hincapié en la supervisión de los registros TGS, especialmente si no se correlacionan con las solicitudes TGT.
¿Cómo defenderse de los ataques de Silver Ticket?
Para defender eficazmente su entorno contra los ataques de Silver Ticket:
- Aplique controles de acceso estrictos y supervise las actividades de las cuentas privilegiadas. Purple Knight, Forest Druidy Semperis Directory Services Protector (DSP) ofrecen una amplia visibilidad de Active Directory. Microsoft Advanced Threat Analytics (ATA) también puede ayudar a detectar actividades sospechosas en entornos AD.
- Revise y audite regularmente los registros de Active Directory, preferiblemente utilizando una solución de gestión de registros centralizada o una solución como DSPque detecta actividades que muchas herramientas de supervisión de eventos pasan por alto.
- Implantar soluciones avanzadas de detección de amenazas como DSPque analiza y alerta sobre comportamientos anómalos.
No dé billete gratis a los ciberatacantes
Los ataques Silver Ticket tienen un alcance más limitado que el infame ataque Golden Ticket, que puede conceder a los atacantes acceso a todo el dominio. Aun así, el carácter sigiloso del ataque Silver Ticket lo convierte en una amenaza significativa. Los ataques Silver Ticket eluden la necesidad de validación TGT y pueden pasar desapercibidos a menos que se tomen medidas de auditoría específicas. Supervisar las cuentas de servicio y aplicar el principio del mínimo privilegio en todo el entorno son medidas de precaución esenciales.
Los ataques Golden Ticket y Silver Ticket subrayan la importancia de auditar y supervisar periódicamente el entorno de Active Directory, emplear principios de mínimo privilegio y garantizar prácticas de seguridad sólidas en torno a las cuentas de servicio y privilegiadas.
La audacia de estos ataques pone de relieve su daño potencial. Para las organizaciones, es fundamental comprender estos matices. Para mitigar el riesgo, hay que vigilar regularmente las anomalías en los tickets, garantizar la sincronización horaria entre servidores y revisar las credenciales de las cuentas de servicio. Al reconocer las características distintivas de los ataques Golden Ticket y Silver Ticket, las empresas pueden fortalecer sus defensas y garantizar una red más resistente frente a los ataques basados en Kerberos.
Recursos adicionales
