Nel complesso mondo della sicurezza informatica, gli attacchi Golden Ticket e Silver Ticket si distinguono come due metodi astuti che prendono di mira il sistema di autenticazione Kerberos. Sebbene entrambi gli attacchi sfruttino lo stesso sistema, i loro approcci, obiettivi e implicazioni differiscono. Ecco cosa c'è da sapere sugli attacchi Silver Ticket e come si differenziano dagli attacchi Golden Ticket.
Che cos'è un attacco di Silver Ticket?
Un Silver Ticket è un ticket Kerberos Ticket Granting Service (TGS) contraffatto, creato per un servizio specifico su una macchina specifica. Un attacco Silver Ticket riuscito dà all'attore malintenzionato la possibilità di falsificare un TGS Kerberos specifico per qualsiasi servizio del dominio. Questo approccio offre agli aggressori un accesso più limitato rispetto agli attacchi Golden Ticket, che consentono agli attori delle minacce di falsificare un Ticket Granting Ticket (TGT) Kerberos per qualsiasi utente del dominio, garantendo così all'aggressore l'accesso a tutto il dominio.
Negli attacchi Silver Ticket, l'accesso è limitato al servizio specifico per il quale il ticket è stato creato. Tuttavia, il ticket falsificato non deve essere convalidato dal KDC dopo la sua creazione. L'attacco furtivo Silver Ticket non garantisce l'accesso ad ampio raggio della sua controparte Golden, ma può comunque causare danni significativi se utilizzato per servizi critici come file server o database.
Ad esempio, se un utente malintenzionato ottiene l'hash di un account di servizio di SQL Server, può creare un Silver Ticket per accedere all'istanza di SQL Server. Quindi, può interrogare i database o persino iniettare comandi SQL dannosi, il tutto senza dover richiedere un TGS al KDC.
Ecco le fasi che gli aggressori seguono in un attacco Silver Ticket:
- L'aggressore compromette un account di servizio o un account macchina per estrarre il suo hash NTLM.
- Utilizzando questo hash, l'attaccante crea un TGS per il servizio specificato.
- L'attaccante presenta il TGS per accedere al servizio mirato, senza dover interagire con il KDC.
Sia i Golden Ticket che i Silver Ticket sono attacchi di falsificazione di ticket Kerberos in ambienti Active Directory. L'individuazione degli attacchi Golden e Silver Ticket può essere difficile a causa dell'aspetto legittimo dei ticket contraffatti. Tuttavia, indicatori e tattiche specifiche possono aiutare a identificare questi attacchi.
Come rilevare un attacco Silver Ticket
- Disadattamento del servizio: Fate attenzione a qualsiasi TGS presentato a un servizio che non ha richiesto la convalida da parte del KDC. Ad esempio, se viene presentato un TGS per un server SQL, ma il KDC non ha registrato l'emissione di un ticket di questo tipo, è bene diffidare.
- Registri eventi: L'ID evento 4769 di Windows (sul computer del servizio preso di mira) mostra quando viene utilizzato un ticket di servizio. Se non viene visualizzato un corrispondente ID evento 4768 (che mostra la presentazione di un TGT al KDC per un TGS) per lo stesso account nelle immediate vicinanze, potrebbe essere in corso un attacco Silver Ticket.
- Anomalie nei metadati dei ticket: I ticket contraffatti potrebbero contenere metadati o autorizzazioni non in linea con la linea di base dell'organizzazione o con le configurazioni standard.
- Comportamento anomalo del servizio: Cercate i servizi a cui si accede in orari strani o da parte di account che di solito non utilizzano il servizio.
In cosa differiscono gli attacchi Silver Ticket da quelli Golden Ticket?
Come un Silver Ticket, un Golden Ticket è un Ticket Granting Ticket (TGT) contraffatto che gli aggressori creano dopo aver ottenuto l'accesso all'account KRBTGT del dominio, l'account utilizzato dal Key Distribution Center (TGTKDC) per criptare e firmare tutti i TGT. In altre parole, un Silver Ticket è la chiave di una stanza specifica; un Golden Ticket è la chiave dell'intero edificio.
A differenza degli attacchi Silver Ticket, più specializzati, gli attacchi Golden Ticket consentono un accesso persistente a livello di dominio. L'attaccante può impersonare qualsiasi utente, elevare i privilegi e accedere a qualsiasi servizio finché l'hash KRBTGT rimane invariato.
La vera minaccia di un Golden Ticket risiede nella sua ampia portata. Gli aggressori, una volta dotati di un Golden Ticket, possono muoversi lateralmente attraverso la rete, accedendo a varie risorse, manipolando le autorizzazioni degli utenti e persino creando nuove credenziali. Il Golden Ticket è una chiave principale, che aggira l'autenticazione standard e dà agli aggressori ampi privilegi di rete. Ad esempio, una volta ottenuto l'hash KRBTGT, un utente malintenzionato può creare un TGT per un amministratore di dominio e richiedere TGS per servizi quali File Shares, Remote Desktop o qualsiasi altro servizio all'interno del dominio.
Gli attacchi Silver Ticket differiscono da quelli Golden Ticket per diversi aspetti:
- Ambito di applicazione: I Golden Ticket forniscono l'accesso a tutto il dominio, quindi le anomalie possono essere più diffuse. I Silver Ticket si rivolgono a servizi specifici.
- Interazioni con il KDC: Gli attacchi Golden Ticket interagiscono con il KDC più frequentemente (per richiedere TGS per vari servizi) rispetto agli attacchi Silver Ticket, che potrebbero bypassare il KDC dopo la creazione iniziale del biglietto contraffatto.
- Registrazione: Per i Golden Ticket, è necessario ispezionare i registri TGT e TGS. Per gli attacchi Silver Ticket, l'accento va posto sul monitoraggio dei log TGS, soprattutto se non sono correlati alle richieste TGT.
Come ci si può difendere dagli attacchi dei Silver Ticket?
Per difendere efficacemente l'ambiente dagli attacchi Silver Ticket:
- Applicare controlli di accesso rigorosi e monitorare le attività degli account privilegiati. Purple Knight, Forest Druide Semperis Directory Services Protector (DSP) offrono un'ampia visibilità su Active Directory. Anche Microsoft Advanced Threat Analytics (ATA) può aiutare a rilevare attività sospette negli ambienti AD.
- Esaminare e verificare regolarmente i log di Active Directory, preferibilmente utilizzando una soluzione di gestione dei log centralizzata o una soluzione come DSPche cattura le attività che molti strumenti di monitoraggio degli eventi non rilevano.
- Implementare soluzioni avanzate di rilevamento delle minacce come DSPche analizza e segnala i comportamenti anomali.
Non date ai cyberattaccanti un biglietto gratis
Gli attacchi Silver Ticket hanno una portata più limitata rispetto al famigerato attacco Golden Ticket, che può garantire agli aggressori l'accesso a tutto il dominio. Tuttavia, la furtività dell'attacco Silver Ticket lo rende una minaccia significativa. Gli attacchi Silver Ticket aggirano la necessità di convalida del TGT e possono rimanere inosservati a meno che non si adottino misure di auditing specifiche. Il monitoraggio degli account di servizio e l'applicazione del principio del minimo privilegio in tutto l'ambiente sono misure precauzionali essenziali.
Entrambi gli attacchi Golden e Silver Ticket sottolineano l'importanza di effettuare regolarmente l'audit e il monitoraggio dell'ambiente Active Directory, di utilizzare i principi di minimo privilegio e di garantire solide pratiche di sicurezza per gli account di servizio e privilegiati.
La pura audacia di questi attacchi ne evidenzia il potenziale danno. Per le aziende, la comprensione di queste sfumature è fondamentale. Per ridurre il rischio, è necessario monitorare regolarmente le anomalie dei ticket, garantire la sincronizzazione dell'ora tra i server e rivedere le credenziali degli account di servizio. Riconoscendo le caratteristiche distintive degli attacchi Golden e Silver Ticket, le aziende possono rafforzare le proprie difese, garantendo una rete più resistente agli exploit basati su Kerberos.
Risorse aggiuntive
