No complexo mundo da cibersegurança, os ataques Golden Ticket e Silver Ticket destacam-se como dois métodos astutos que visam o sistema de autenticação Kerberos. Embora ambos os ataques explorem o mesmo sistema, as suas abordagens, objectivos e implicações são diferentes. Eis o que precisa de saber sobre os ataques Silver Ticket, incluindo a sua diferença em relação aos ataques Golden Ticket.
O que é um ataque do Bilhete de Prata?
Um Silver Ticket é um bilhete Kerberos Ticket Granting Service (TGS) forjado para um serviço específico numa máquina específica. Um ataque Silver Ticket bem sucedido dá ao agente da ameaça a capacidade de forjar um TGS Kerberos específico para qualquer serviço no domínio. Esta abordagem dá aos atacantes um acesso mais restrito do que os ataques Golden Ticket, que permitem aos agentes da ameaça forjar um TGT (Ticket Granting Ticket) Kerberos para qualquer utilizador no domínio, concedendo assim ao atacante acesso a todo o domínio.
Nos ataques Silver Ticket, o acesso é limitado ao serviço específico para o qual o bilhete foi criado. No entanto, o bilhete forjado não precisa de ser validado pelo KDC após a sua criação. O ataque furtivo Silver Ticket não concede o amplo acesso do seu homólogo Golden, mas pode causar danos significativos quando utilizado para serviços críticos como servidores de ficheiros ou bases de dados.
Por exemplo, se um atacante obtiver o hash de uma conta de serviço do SQL Server, pode criar um Silver Ticket para aceder à instância do SQL Server. Depois, pode consultar bases de dados ou mesmo injetar comandos SQL maliciosos, tudo isto sem ter de pedir um TGS ao KDC.
Eis os passos que os atacantes seguem num ataque Silver Ticket:
- O atacante compromete uma conta de serviço ou de máquina para extrair o seu hash NTLM.
- Utilizando esse hash, o atacante cria um TGS para o serviço especificado.
- O atacante apresenta o TGS para aceder ao serviço visado, sem necessidade de interagir com o KDC.
Tanto os Golden Tickets como os Silver Tickets são ataques de falsificação de bilhetes Kerberos em ambientes Active Diretory. A deteção de ataques Golden e Silver Ticket pode ser um desafio devido à aparência legítima dos bilhetes falsificados. No entanto, indicadores e tácticas específicas podem ajudá-lo a identificar estes ataques.
Como detetar um ataque Silver Ticket
- Incompatibilidade de serviços: Esteja atento a qualquer TGS que seja apresentado a um serviço que não tenha solicitado a validação do KDC. Por exemplo, se for apresentado um TGS para um servidor SQL, mas o KDC não tiver qualquer registo de atribuição desse bilhete, desconfie.
- Registos de eventos: O ID de evento 4769 do Windows (na máquina do serviço visado) mostra quando é utilizado um bilhete de serviço. Se não vir um ID de evento 4768 correspondente (que mostra um TGT a ser apresentado ao KDC para um TGS) para a mesma conta nas proximidades, pode estar a decorrer um ataque Silver Ticket.
- Anomalias nos metadados do ticket: Os tickets forjados podem conter metadados ou permissões que não estão alinhados com sua linha de base organizacional ou configurações padrão.
- Comportamento anormal do serviço: Procure serviços que são acedidos a horas estranhas ou por contas que normalmente não utilizam o serviço.
Em que é que os ataques Silver Ticket diferem dos ataques Golden Ticket?
Tal como um Silver Ticket, um Golden Ticket é um Ticket de Concessão de Ticket (TGT) forjado que os atacantes criam depois de obterem acesso à conta KRBTGT do domínio - a conta utilizada pelo Centro de Distribuição de Chaves (TGTKDC) para encriptar e assinar todos os TGTs. Por outras palavras, um Silver Ticket é uma chave para uma sala específica; um Golden Ticket é uma chave para todo o edifício.
Ao contrário dos ataques Silver Ticket mais especializados, os ataques Golden Ticket permitem o acesso persistente a todo o domínio. O atacante pode fazer-se passar por qualquer utilizador, elevar privilégios e aceder a qualquer serviço, desde que o hash KRBTGT permaneça inalterado.
A verdadeira ameaça de um Bilhete Dourado reside no seu amplo alcance. Os atacantes, uma vez equipados com um Bilhete Dourado, podem mover-se lateralmente através da rede, acedendo a vários recursos, manipulando as permissões dos utilizadores e até criando novas credenciais. O Bilhete Dourado é uma chave mestra, contornando a autenticação padrão e dando aos atacantes amplos privilégios de rede. Por exemplo, quando um atacante obtém o hash KRBTGT, pode criar um TGT para um Administrador de Domínio e, em seguida, solicitar TGSs para serviços como Partilhas de Ficheiros, Ambiente de Trabalho Remoto ou qualquer outro serviço dentro do domínio.
Os ataques Silver Ticket diferem dos ataques Golden Ticket em vários aspectos:
- Âmbito: Os bilhetes dourados fornecem acesso a todo o domínio, pelo que as anomalias podem ser mais generalizadas. Os Silver Tickets visam serviços específicos.
- Interações com o KDC: Os ataques Golden Ticket interagem com o KDC com mais frequência (para solicitar TGSs para vários serviços) do que os ataques Silver Ticket, que podem contornar o KDC após a criação inicial do bilhete forjado.
- Registo: Para os Golden Tickets, devem ser inspeccionados os registos TGT e TGS. Para os ataques Silver Ticket, a ênfase deve ser colocada na monitorização dos registos TGS, especialmente se não estiverem correlacionados com os pedidos TGT.
Como se pode defender contra ataques de Silver Ticket?
Para defender eficazmente o seu ambiente contra ataques Silver Ticket:
- Aplicar controlos de acesso rigorosos e monitorizar as actividades de contas privilegiadas. Purple Knight, Forest Druide o Semperis Directory Services Protector (DSP) oferecem uma ampla visibilidade do Active Diretory. O Microsoft Advanced Threat Analytics (ATA) também pode ajudar a detetar actividades suspeitas em ambientes AD.
- Reveja e audite regularmente os registos do Active Diretory, de preferência utilizando uma solução de gestão de registos centralizada ou uma solução como o DSPque captura atividades que muitas ferramentas de monitoramento de eventos não detectam.
- Implementar soluções avançadas de deteção de ameaças como DSPque analisa e alerta sobre comportamentos anómalos.
Não dê um bilhete grátis aos ciberataques
Os ataques Silver Ticket são mais limitados em termos de âmbito do que o infame ataque Golden Ticket, que pode conceder aos atacantes acesso a todo o domínio. Ainda assim, o carácter furtivo do ataque Silver Ticket torna-o uma ameaça significativa. Os ataques Silver Ticket contornam a necessidade de validação TGT e podem não ser detectados, a menos que sejam tomadas medidas de auditoria específicas. A monitorização das contas de serviço e a aplicação do princípio do menor privilégio em todo o seu ambiente são passos de precaução essenciais.
Tanto os ataques Golden Ticket como os Silver Ticket sublinham a importância de auditar e monitorizar regularmente o seu ambiente Active Diretory, de aplicar princípios de privilégio mínimo e de garantir práticas de segurança robustas em torno de contas de serviço e privilegiadas.
A audácia destes ataques realça os seus potenciais danos. Para as organizações, compreender estas nuances é fundamental. Para mitigar o risco, monitorize regularmente as anomalias dos bilhetes, assegure a sincronização da hora entre servidores e reveja as credenciais da conta de serviço. Ao reconhecer as caraterísticas distintivas dos ataques Golden e Silver Ticket, as empresas podem fortalecer as suas defesas, garantindo uma rede mais resiliente contra exploits baseados em Kerberos.
Recursos adicionais
