Daniel Petri | Gestor de formação sénior

Qualquer organização que dependa da autenticação Kerberos - o principal método de autenticação em ambientes Active Directory - está potencialmente vulnerável a um ataque Pass the Ticket. As organizações que não corrigem regularmente os seus sistemas, monitorizam e protegem o Active Directory e seguem medidas de segurança robustas para proteção de credenciais e bilhetes correm um risco mais elevado. Vamos discutir como detetar e se defender contra um ataque Pass the Ticket.

O que é um ataque "Pass the Ticket"?

Um ataque Pass the Ticket é uma tática sofisticada. Os agentes de ameaças utilizam este ataque para obter acesso não autorizado a recursos de rede em ambientes que utilizam o Kerberos, o protocolo de autenticação predefinido no Active Directory.

Ao contrário dos ataques baseados em palavra-passe, um ataque Pass the Ticket explora o bilhete de concessão de bilhete (TGT) e os bilhetes de serviço no processo de autenticação Kerberos. Ao capturar e reutilizar estes bilhetes, os atacantes podem fazer-se passar por utilizadores legítimos - sem necessitarem das suas credenciais reais.

Os atacantes utilizam frequentemente o ataque Pass the Ticket em conjunto com outras técnicas como parte de ataques em várias fases. Depois de utilizar um ataque Pass the Ticket para obter acesso à sua rede, os agentes da ameaça podem implementar ransomware, criar backdoors ou estabelecer servidores de comando e controlo para exploração e persistência a longo prazo. A versatilidade e a natureza furtiva deste ataque fazem dele uma técnica favorita entre os operadores de ameaças persistentes avançadas (APT) e outros atacantes sofisticados.

Leitura relacionada: Proteger o Active Directory contra o Kerberoasting

Como é que funciona um ataque Pass the Ticket?

Num ataque Pass the Ticket, o atacante compromete inicialmente o sistema ou dispositivo de um utilizador. Utilizando ferramentas como Mimikatz, Kekeo, Rubeus ou Creddump7, o atacante extrai o Kerberos TGT ou bilhetes de serviço da memória LSASS.

Com estes bilhetes na mão, o atacante pode então:

  • Apresentar um bilhete roubado para aceder a recursos para os quais o bilhete é válido.
  • Mover-se lateralmente na rede, acedendo a sistemas e serviços como o utilizador comprometido.
  • Tentativa de aumentar os privilégios capturando o bilhete de um utilizador com privilégios mais elevados.

A deteção de um ataque Pass the Ticket é um desafio. Como o atacante utiliza bilhetes legítimos, estas acções parecem muitas vezes actividades autênticas do utilizador.

Note-se que um ataque Pass the Ticket envolve a exploração de bilhetes Kerberos - em particular o TGT - que têm um tempo de vida de 10 horas (600 minutos) por defeito e podem ser renovados por 7 dias. Por conseguinte, o atacante tem de utilizar o bilhete dentro desse período.

Que riscos estão associados a um ataque Pass the Ticket?

O principal risco de um ataque Pass the Ticket é o acesso não autorizado. Ao utilizar um bilhete válido, os atacantes podem contornar os mecanismos de autenticação tradicionais, obtendo acesso a dados, aplicações e serviços sensíveis. A natureza furtiva do ataque permite que os adversários mantenham a persistência dentro de uma rede por longos períodos sem deteção. Considere os seguintes exemplos de cenários.

Compromisso inicial

Um atacante faz phishing com sucesso a um funcionário de baixo nível e obtém acesso à sua estação de trabalho. Utilizando uma ferramenta como o Mimikatz ou o Rubeus, o atacante extrai os bilhetes Kerberos da memória do sistema. O atacante utiliza estes bilhetes para aceder a partilhas de rede, bases de dados ou outros recursos para os quais o funcionário tem permissões.

Movimento lateral

Depois de comprometer uma máquina, um atacante capta um bilhete Kerberos de um membro da equipa de TI que acedeu recentemente a essa máquina. Utilizando este bilhete, o atacante desloca-se para outra máquina ou servidor a que esse membro do pessoal de TI tem acesso, expandindo a sua presença na organização. O atacante pode utilizar o bilhete para obter informações ou sistemas confidenciais ou para executar acções prejudiciais, como a implantação de malware, a criação de novas contas de utilizador ou a alteração de configurações.

Aumento de privilégios

A partir da estação de trabalho de um utilizador comprometido, um atacante captura um bilhete de serviço de um administrador que executou uma tarefa na estação de trabalho. Utilizando este bilhete, o atacante aumenta os seus privilégios dentro da rede, acedendo a servidores sensíveis, incluindo um controlador de domínio do Active Directory.

Exfiltração de dados

Depois de obter um bilhete válido, um atacante acede a um servidor de base de dados. O atacante exfiltra então dados sensíveis, incluindo informações de clientes ou propriedade intelectual, sem nunca precisar de decifrar uma palavra-passe ou comprometer diretamente o servidor.

Persistência furtiva

Em vez de utilizar malware ou outras ferramentas que possam acionar o software antivírus, um atacante mantém o acesso à rede utilizando bilhetes roubados, actualizando-os sempre que necessário e acedendo a recursos sem levantar qualquer alarme.

Comprometer os recursos da nuvem

Uma organização utiliza o início de sessão único (SSO) e integra o seu Active Directory no local com serviços na nuvem. Um atacante obtém um bilhete e consegue aceder a recursos na nuvem, incluindo armazenamento e bases de dados, levando a violações de dados.

Como é que se pode detetar um ataque Pass the Ticket?

A deteção de um ataque Pass the Ticket pode ser difícil. A aparência legítima das actividades baseadas em bilhetes complica a tarefa.

As seguintes estratégias de deteção podem ajudá-lo a detetar este tipo de ataque:

  • Deteção de anomalias. Monitorizar padrões de acesso ou actividades invulgares durante horas estranhas. Esses padrões podem indicar intenções maliciosas.
  • Monitorizar eventos de autenticação. Audite todos os eventos de autenticação Kerberos e analise-os para detetar discrepâncias. Efectue esta auditoria em pontos terminais e controladores de domínio.
  • Tempo de vida dos bilhetes. Acompanhe a idade dos bilhetes e defina alertas para bilhetes que são utilizados para além do seu tempo de vida definido.
  • Ferramentas de monitorização. Utilizar soluções avançadas de deteção de ameaças que possam reconhecer os padrões de ataque Pass the Ticket. Observe também o uso de ferramentas como Mimikatz, Kekeo, Rubeus e Creddump7.

Os ambientes de grande escala utilizam frequentemente um sistema de gestão de eventos e informações de segurança (SIEM) ou outro mecanismo de filtragem e alerta para analisar os registos de eventos e alertar os administradores com base em eventos de início de sessão. No entanto, certos ataques são hábeis em cobrir todos os vestígios do seu comportamento no Active Directory. Esses ataques podem passar despercebidos pela deteção do SIEM.

Como se pode defender de um ataque Pass the Ticket?

A atenuação centra-se tanto na prevenção como na limitação:

  • Limitar o tempo de vida dos bilhetes. Reduzir o tempo de vida dos TGTs e bilhetes de serviço. A duração predefinida dos bilhetes é de 600 minutos (10 horas).
  • Aplicar patches regularmente nos sistemas. Verifique se todos os sistemas, especialmente os controladores de domínio, são corrigidos regularmente.
  • Proteger as contas privilegiadas. Limite o número de contas privilegiadas e utilize a autenticação multifactor (MFA).
  • Monitorizar e auditar o Active Directory. Revisar e auditar regularmente os logs do Active Directory. Configure alertas para actividades suspeitas. Melhor ainda, implemente uma solução concebida para proteger o Active Directory e monitorize o fluxo de replicação do Active Directory em vez de depender dos registos.

Para se defenderem contra um ataque Pass the Ticket e outros ataques relacionados com o Kerberos, os administradores do Active Directory têm de manter uma postura de segurança forte:

  • Implementar o modo de administrador restrito. Este passo impede que as credenciais dos administradores sejam armazenadas na memória quando utilizam o RDP para se ligarem a um sistema.
  • Aplicar linhas de base de segurança. Implementar as linhas de base de segurança da Microsoft para o Active Directory e a Política de Grupo.
  • Mantenha os seus sistemas actualizados. Assegurar a aplicação atempada de patches nos sistemas e no software.
  • Implantar o Credential Guard. Introduzido no Windows 10 e no Windows Server 2016 e posterior, o Credential Guard usa a virtualização para proteger o armazenamento de credenciais e fornecer acesso apenas a processos confiáveis. O recurso também ajuda a isolar e proteger o LSASS de ferramentas de ataque.
  • Instruir os utilizadores. Treine os utilizadores com credenciais de domínio ou elevadas para evitarem iniciar sessão em anfitriões não confiáveis.

Defender as redes dependentes do Kerberos para reduzir o risco

O ataque Pass the Ticket exemplifica as técnicas avançadas que os adversários modernos utilizam para explorar sistemas de autenticação aparentemente robustos. Ao compreender a mecânica do ataque Pass the Ticket, pode defender melhor as suas redes dependentes do Kerberos.

A melhor maneira de reforçar as suas defesas e reduzir significativamente o risco de tais ameaças avançadas é tomar medidas proactivas para proteger o Active Directory. Essas medidas incluem a monitorização contínua e a utilização de soluções robustas de deteção e resposta a ameaças à identidade (ITDR). Um sistema de monitorização como o Semperis Directory Services Protector, que foi concebido para detetar ataques avançados e automatizar a reversão de alterações suspeitas no Active Directory, pode proporcionar uma maior tranquilidade face a uma tentativa de ataque Pass the Ticket.