No romance de Roald Dahl de 1964, Charlie & the Chocolate Factory, o enigmático Willy Wonka esconde cinco Bilhetes Dourados entre as barras de chocolate da sua fábrica. Quem encontrar os bilhetes ganha a honra de aceder aos bastidores das instalações da sua empresa. No mundo digital, os Bilhetes Dourados também dão acesso, mas a algo muito mais valioso do que uma fábrica misteriosa - o ambiente de TI da sua organização.
Leitura relacionada
O seu bilhete, por favor
Como introdução rápida: quando um cliente de PC se autentica num domínio, o Centro de Distribuição de Chaves Kerberos (KDC) no controlador de domínio (DC) de autenticação fornece ao cliente um Ticket Granting Ticket (TGT). Este TGT dá ao cliente a capacidade de solicitar um bilhete de serviço ao KDC para aceder a um serviço (por exemplo, um servidor de ficheiros). O KDC envia o bilhete de serviço para o cliente, encriptado com o valor de hash da palavra-passe da conta de serviço. O cliente passa o bilhete para o serviço, que o desencripta e concede ao cliente acesso ao serviço.
A conta krbtgt funciona como uma conta de serviço para o serviço KDC. Com o controlo da conta krbtgt, os atacantes podem criar TGTs fraudulentos para aceder a quaisquer recursos que desejem. Este cenário é a essência de um ataque Golden Ticket. Se executados com êxito, os ataques Golden Ticket permitem que os agentes da ameaça se façam passar por qualquer utilizador. O ataque é difícil de detectar e pode ser utilizado por agentes de ameaças para persistir sob o radar durante longos períodos de tempo.
O lançamento do ataque requer que o atacante já tenha comprometido uma conta com privilégios elevados que possa aceder ao controlador de domínio. Cada controlador de domínio no ambiente AD executa um KDC. Depois de ter acesso ao controlador de domínio, o atacante pode utilizar uma ferramenta como o Mimikatz para roubar o hash NTLM da conta krbtgt.
Com o hash da palavra-passe krbtgt em mãos, o agente da ameaça só precisa do seguinte para criar um TGT:
- Nome de domínio totalmente qualificado (FQDN) do domínio
- O identificador de segurança (SID) do domínio
- O nome de utilizador da conta a que se destinam.
Embora os TGTs sejam normalmente válidos por 10 horas por defeito, um atacante pode tornar o TGT válido por qualquer período de tempo, até 10 anos. Por este motivo, é fundamental ter uma estratégia para detectar, atenuar e remediar estes ataques.
Utilizar a higiene de segurança básica para se proteger contra ataques do Bilhete Dourado
A prevenção de ataques Golden Ticket começa com a higiene básica de segurança. Os adversários não podem lançar o ataque sem primeiro comprometerem o ambiente, pelo que as organizações podem começar por implementar uma defesa em camadas para reduzir a superfície de ataque e aumentar a barreira à entrada.
- Prevenção do roubo de credenciais: A primeira camada envolve a prevenção do roubo de credenciais. Bloquear ataques de malware e phishing para roubo de credenciais é fundamental e deve envolver uma combinação de formação de sensibilização para a segurança dos funcionários, bem como segurança da rede e dos terminais. A eliminação de palavras-passe comuns do seu directório através da utilização de um filtro de palavras-passe personalizado, como a Protecção de Palavras-Passe do Azure AD, reduzirá a probabilidade de um ataque de pulverização de palavras-passe ser bem sucedido. Qualquer actividade Mimikatz que não esteja a ser conduzida pela equipa Red da sua organização ou por um pen tester autorizado é um sinal claro de que os atacantes chegaram.
- Manter o AD seguro: A próxima camada envolve a elevação da muralha do castelo em torno do próprio AD. Como um ataque do Bilhete Dourado requer acesso privilegiado a um controlador de domínio, a implementação do princípio do menor privilégio é crucial para manter o AD seguro. As equipas do AD devem reduzir ao mínimo o número de contas de utilizador e de serviço com acesso aos DCs. As contas com permissões de administrador de domínio ou de "replicação de alterações de directório" podem ser utilizadas para lançar ataques DCSync, que permitem o roubo do hash krbtgt.
- Procura de bilhetes falsificados: Tal como as notas de dólar falsas, os bilhetes falsificados podem ser descobertos procurando um comportamento invulgar do utilizador e examinando o bilhete em busca de sinais reveladores. Por exemplo, erros como incompatibilidades de nome de utilizador e ID relativa (RID) ou alterações no tempo de vida do bilhete podem ser indicadores de actividade maliciosa. Além disso, também é importante monitorizar o AD para detectar actividades invulgares, como alterações à associação a grupos.
- Ter cuidado ao alterar a palavra-passe krbtgt: Um dos conselhos mais comuns para lidar com ataques Golden Ticket é alterar a senha krbtgt a cada 180 dias. Isso não deve ser feito casualmente, pois causará temporariamente falhas na validação do Certificado de Atributo Privilegiado (PAC). O melhor método de actualização da palavra-passe é estudar e executar o script de reposição da palavra-passe da conta krbtgt (fornecido pelo Microsoft MVP Jorge de Almeida Pinto, este é um script de reposição continuamente actualizado), que também permite às organizações validar que todos os DCs graváveis no domínio replicaram as chaves derivadas do novo hash da palavra-passe. A alteração da palavra-passe krbtgt a cada 180 dias é uma prática recomendada. No entanto, as equipas de AD também devem considerar a possibilidade de a alterar sempre que um funcionário que poderia criar um Bilhete Dourado deixar a organização. Esta acção reduz o risco de um antigo funcionário descontente utilizar um bilhete forjado para fins maliciosos. É importante lembrar que, se for detectado um ataque de Bilhete Dourado, a palavra-passe terá de ser redefinida duas vezes para atenuar o ataque. Porquê? Porque a conta krbtgt lembra-se das duas palavras-passe anteriores, pelo que é necessário repor a palavra-passe duas vezes para evitar que outro DC utilize uma palavra-passe antiga para replicar com o DC afectado. Como aviso, alterar a palavra-passe duas vezes antes de a palavra-passe se poder replicar em todo o ambiente pode perturbar o acesso à rede, por isso, não tenha pressa e certifique-se de que a primeira actualização se propagou a todos os DC.
Construir uma defesa sólida contra os ataques do Bilhete Dourado
Mitigar e responder a um ataque Golden Ticket é difícil. No entanto, uma vez que estes ataques podem abrir caminho ao roubo de dados em grande escala e ao ransomware, é vital ter em conta os ataques Golden Ticket nos seus cenários de recuperação de AD e de resposta a incidentes.
Certifique-se de que a extensão da actividade dos atacantes foi determinada antes de reconstruir os sistemas afectados e de repor as contas, informando assim o actor de que detectou a sua actividade. Certifique-se de que tem uma cópia de segurança offline e, idealmente, uma floresta recuperada e isolada, para que, se o atacante detonar o payload do ransomware, ainda tenha uma floresta AD viável. Só compreendendo totalmente os danos causados é que as organizações podem ter a certeza de que fecharam completamente a porta aos atacantes e os impediram de manter uma posição segura.