¿Qué es un ataque Golden Ticket?

¿Qué es un ataque Golden Ticket?

Se enfrenta a un atacante que exfiltra el hash de la contraseña KRBTGT de su dominio. Poco después, falsifican un ticket Kerberos que les otorga privilegios de Administrador de Dominio durante los próximos 10 años. Sus controladores de dominio confían completamente en este ticket falsificado: no pueden distinguirlo de una autenticación legítima.

Esto es un ataque Golden Ticket. Los adversarios falsifican Ticket-Granting Tickets (TGT) utilizando hashes de contraseñas de la cuenta KRBTGT robados, creando credenciales criptográficamente válidas que eluden los controles de seguridad estándar. Si un ticket está cifrado con la clave a largo plazo de la cuenta KRBTGT, el servicio de concesión de tickets de su KDC asume que se trata de una solicitud auténtica de un usuario auténtico. Sus controladores de dominio no pueden distinguir los tickets falsificados de los legítimos porque las firmas criptográficas parecen matemáticamente idénticas.

CISA sigue documentando el robo de credenciales y ataques basados en Kerberos en campañas de estados-nación y operaciones de ransomware dirigidas a infraestructuras críticas, lo que convierte a esta técnica en uno de los ataques de post-explotación más persistentes que enfrentan las empresas.

Existen tres prerrequisitos antes de que los adversarios puedan ejecutar ataques Golden Ticket: acceso administrativo a su controlador de dominio o sistema privilegiado equivalente, extracción del hash de la cuenta KRBTGT desde su base de datos NTDS.dit o la memoria del proceso LSASS, y recopilación de su FQDN de dominio, SID de dominio e información del usuario objetivo. Una vez que los adversarios cumplen estas condiciones, falsifican los tickets completamente fuera de su red; no se requiere comunicación con el controlador de dominio.

Relación del Golden Ticket con la ciberseguridad

Los ataques Golden Ticket representan ataques basados en identidad que eluden los controles de seguridad enfocados en la defensa del perímetro de red y la seguridad de endpoints. Usted se enfrenta a adversarios que han superado la fase de compromiso inicial y se encuentran en la fase de Acceso a Credenciales de cadenas de ataque sofisticadas.

Sus controles de seguridad estándar fallan porque los tickets falsificados parecen criptográficamente idénticos a los eventos de autenticación legítimos. La detección basada en firmas no puede identificar Golden Tickets. La autenticación multifactor no protege contra ellos. Las políticas de contraseñas se vuelven irrelevantes. Las organizaciones deben restablecer la contraseña de KRBTGT dos veces para invalidar los Golden Tickets existentes.

MITRE ATT&CK clasifica formalmente la técnica bajo tres tácticas simultáneamente: 

• Acceso a Credenciales (T1558.001),
• Movimiento Lateral (habilitando el acceso a recursos en todo el dominio),
• Persistencia (los tickets permanecen válidos durante años). 

Las alertas de CISA confirman que actores APT patrocinados por el estado ruso han dirigido ataques a servidores Windows Active Directory para escalamiento de privilegios, y operaciones de ransomware como Akira apuntan activamente a la infraestructura de autenticación Kerberos utilizando herramientas de extracción de credenciales.

Para defenderse de los ataques Golden Ticket, primero debe comprender los componentes de Kerberos que los adversarios explotan.

Impacto de un ataque Golden Ticket en una organización

Un ataque Golden Ticket exitoso otorga a los adversarios acceso sin restricciones a todos los recursos en su entorno Active Directory. Se autentican como cualquier usuario, acceden a cualquier sistema y mantienen este acceso durante meses o años sin activar alertas de seguridad estándar.

Acceso a recursos en todo el dominio

Los adversarios con TGT falsificados se mueven libremente por su entorno. Acceden a servidores de archivos que contienen propiedad intelectual sensible, se autentican en sistemas de correo electrónico para comunicaciones empresariales, consultan bases de datos con registros de clientes y se conectan a la infraestructura de copias de seguridad. Sus controles de seguridad ven autenticación Kerberos legítima, no acceso no autorizado.

Acceso persistente a largo plazo

Los Golden Tickets funcionan como puertas traseras que sobreviven a las acciones típicas de respuesta a incidentes. El restablecimiento de contraseñas para cuentas comprometidas no tiene efecto. Deshabilitar cuentas de usuario no revoca el acceso. Los tickets falsificados permanecen válidos hasta que complete el protocolo de doble restablecimiento de contraseña KRBTGT en todos los controladores de dominio, un proceso que muchas organizaciones retrasan por preocupaciones operativas sobre la interrupción del servicio.

Exfiltración de datos y exposición regulatoria

El acceso sin restricciones al dominio permite el robo de datos a gran escala. Los adversarios pueden extraer sistemáticamente bases de datos de clientes, registros financieros, información de empleados y datos empresariales confidenciales. Para organizaciones sujetas a GDPR, HIPAA o PCI-DSS, una brecha Golden Ticket normalmente desencadena requisitos obligatorios de notificación de incidentes y posibles sanciones regulatorias.

Costos operativos y de recuperación

La recuperación de ataques Golden Ticket requiere recursos significativos. Debe restablecer la contraseña de KRBTGT dos veces en todos los controladores de dominio, revocar todos los tickets Kerberos existentes, restablecer credenciales de cuentas privilegiadas, realizar análisis forense para identificar vectores de compromiso inicial y, potencialmente, reconstruir controladores de dominio comprometidos desde copias de seguridad limpias. Las organizaciones suelen descubrir el uso de Golden Ticket semanas o meses después del despliegue inicial, ampliando el alcance de la investigación forense.

Estos impactos hacen que los ataques Golden Ticket estén entre los compromisos más graves de Active Directory. Defenderse de ellos requiere comprender los componentes centrales del ataque.

Componentes centrales de un ataque Golden Ticket

Los ataques Golden Ticket explotan cuatro componentes de Kerberos: la cuenta de servicio KRBTGT, los TGT, las estructuras PAC y el KDC.

• Cuenta KRBTGT: La cuenta KRBTGT es la cuenta de servicio Kerberos de su dominio. Cada controlador de dominio utiliza su hash de contraseña para cifrar y firmar todos los TGT. Cuando los adversarios extraen este hash, poseen la clave criptográfica que valida cada ticket de autenticación en su dominio.
• Ticket-Granting Ticket (TGT): Los TGT funcionan como credenciales de autenticación que su KDC emite tras un inicio de sesión exitoso del usuario. Los usuarios presentan TGT para solicitar tickets de servicio para recursos específicos. Los TGT normales expiran tras períodos de validez limitados, mientras que los Golden Tickets falsificados pueden tener fechas de expiración arbitrarias.
• Privilege Attribute Certificate (PAC): El PAC contiene datos de autorización incrustados en los tickets Kerberos, especificando membresías de grupo de usuario, privilegios y derechos de acceso. Los adversarios falsifican los datos PAC para otorgarse privilegios de Administrador de Dominio independientemente de los permisos reales de su cuenta.
• Key Distribution Center (KDC): Su KDC se ejecuta en los controladores de dominio y gestiona todas las solicitudes de autenticación Kerberos, validando los tickets mediante la verificación de firmas criptográficas utilizando el hash de la cuenta KRBTGT.

Estos cuatro componentes interactúan en una secuencia específica durante un ataque Golden Ticket.

Técnicas utilizadas para falsificar un Golden Ticket

Los adversarios utilizan herramientas especializadas y metodologías establecidas para extraer hashes KRBTGT y falsificar TGT. Comprender estas técnicas le ayuda a identificar intentos de robo de credenciales antes de que los atacantes completen el proceso de falsificación.

Métodos de extracción de hash KRBTGT

Los adversarios extraen el hash de la contraseña KRBTGT a través de dos vectores principales. El primero apunta al archivo de base de datos NTDS.dit en los controladores de dominio, que almacena todas las credenciales de Active Directory. Herramientas como ntdsutil, secretsdump o copia de volumen en sombra permiten la extracción offline. El segundo vector apunta a la memoria del proceso LSASS en los controladores de dominio, donde el material de credenciales existe en texto claro o en formatos fácilmente reversibles.

Herramientas de ataque comunes

MITRE ATT&CK documenta varias herramientas que los adversarios utilizan para ataques Golden Ticket:

• Mimikatz: La herramienta más documentada, capaz tanto de extracción de KRBTGT como de falsificación de tickets mediante su módulo kerberos::golden
• Rubeus: Una implementación en C# que ofrece capacidades similares con mejor evasión de controles de seguridad
• Impacket: Kit de herramientas basado en Python que incluye ticketer.py para la generación de TGT
• Sliver: Framework de comando y control con manipulación de tickets Kerberos incorporada

Proceso de falsificación offline

Tras extraer el hash KRBTGT, los adversarios construyen tickets falsificados en sistemas fuera de su red. Especifican el SID de dominio, nombre de usuario objetivo, membresías de grupo (típicamente Domain Admins) y períodos de validez arbitrarios. El proceso de falsificación no requiere comunicación con sus controladores de dominio, lo que lo hace invisible para la monitorización de red hasta que el adversario inyecta el ticket y comienza la autenticación.

Reconocer estas técnicas define su estrategia de monitorización para los indicadores que señalan ataques activos.

Indicadores de un ataque Golden Ticket

Los ataques Golden Ticket generan patrones identificables en los registros de autenticación, tráfico de red y telemetría de endpoints. Su equipo de seguridad puede encontrar estos indicadores monitorizando anomalías que se desvían del comportamiento normal de Kerberos.

Anomalías en los registros de autenticación

Los registros de eventos de seguridad de Windows capturan la actividad Kerberos que revela el uso de Golden Ticket. Los ID de evento 4768, 4769 y 4770 registran solicitudes de TGT, solicitudes de tickets de servicio y renovaciones de tickets. Busque tickets con períodos de validez inusualmente largos, eventos de autenticación desde direcciones IP inesperadas y solicitudes de servicio inconsistentes con el rol o los patrones de acceso normales del usuario.

Señales de degradación de cifrado

Los tickets falsificados frecuentemente utilizan cifrado RC4 porque las herramientas de ataque más antiguas lo establecen por defecto. En entornos que han deshabilitado RC4 en favor de cifrado AES, cualquier ticket Kerberos cifrado con RC4 representa un indicador de alta confianza. Configure su SIEM para alertar sobre el uso de RC4 cuando su política de dominio exija autenticación solo con AES.

Precursores de acceso a credenciales

El despliegue de Golden Ticket requiere un robo de credenciales previo. Monitorice las fases de ataque prerrequisito: acceso inusual al proceso LSASS, operaciones sobre el archivo NTDS.dit, creación de copias de volumen en sombra en controladores de dominio y ejecución de herramientas conocidas de extracción de credenciales. Detectar intentos de acceso a credenciales proporciona una advertencia más temprana que monitorizar solo la falsificación de tickets.

Desviaciones del comportamiento base

Los usuarios se autentican en conjuntos predecibles de recursos según sus funciones laborales. El uso de Golden Ticket suele crear patrones de autenticación que se desvían de las líneas base establecidas. Una cuenta de usuario que de repente solicita tickets de servicio para sistemas fuera de su alcance normal, se autentica desde segmentos de red desconocidos o accede a recursos sensibles en horarios inusuales, requiere investigación inmediata.

Estos indicadores informan cómo los defensores estructuran sus capacidades de monitorización y respuesta.

Cómo funciona un ataque Golden Ticket

Los ataques Golden Ticket son técnicas de post-explotación que requieren que los adversarios primero obtengan acceso administrativo a los controladores de dominio y extraigan el hash de la contraseña de la cuenta KRBTGT antes de falsificar TGT.

• Fase 1-2: Compromiso inicial y extracción de KRBTGT: Los adversarios establecen acceso inicial mediante phishing, explotación de vulnerabilidades o robo de credenciales. La alerta CISA AA23-250a documenta actores APT explotando CVE-2022-47966 en Zoho ManageEngine, realizando volcados de memoria LSASS para recopilar credenciales en dominios completos de Active Directory. Los adversarios despliegan herramientas como Mimikatz, Rubeus o Sliver para extraer el hash de la contraseña KRBTGT y exfiltrarlo a un sistema externo.
• Fase 3: Falsificación de tickets: Los adversarios construyen TGT falsificados offline utilizando el hash KRBTGT robado, el SID de dominio y la información del usuario objetivo. Especifican privilegios arbitrarios en la estructura de datos PAC, normalmente membresía en el grupo Domain Admins, establecen períodos de validez extendidos y cifran el ticket falsificado usando el hash KRBTGT robado.
• Fase 4-5: Movimiento lateral y acceso persistente: Los adversarios inyectan TGT falsificados en la memoria de sistemas comprometidos y solicitan tickets de servicio en todo su dominio. Su KDC valida la firma criptográfica del TGT falsificado y emite tickets de servicio. Los adversarios se autentican en servidores de archivos, sistemas de bases de datos, infraestructura de correo electrónico y sistemas de respaldo utilizando credenciales falsificadas. Los dobles restablecimientos de contraseña KRBTGT son esenciales porque los controladores de dominio mantienen tanto los hashes de contraseña actuales como los anteriores por compatibilidad hacia atrás.

Reconocer estas fases de ataque define su estrategia de monitorización y respuesta.

Cómo detectar un ataque Golden Ticket

Detectar ataques Golden Ticket requiere monitorizar patrones de autenticación Kerberos y correlacionar anomalías en toda su infraestructura de seguridad. Las herramientas basadas en firmas no pueden identificar tickets falsificados porque son criptográficamente válidos. Su estrategia de detección debe centrarse en análisis de comportamiento y anomalías de autenticación.

Configure la monitorización SIEM para eventos Kerberos

Los registros de eventos de seguridad de Windows proporcionan la fuente principal de datos para la detección de Golden Ticket. Configure su SIEM para recopilar y analizar los ID de evento 4768, 4769, 4770 y 4771, que registran solicitudes de TGT, solicitudes de tickets de servicio, renovaciones de tickets y fallos de autenticación. Cree reglas de correlación que marquen tickets con períodos de validez superiores a la política de su dominio, solicitudes de autenticación desde direcciones IP fuera de los patrones normales de usuario y solicitudes de tickets de servicio inconsistentes con las líneas base de comportamiento del usuario.

Monitorice degradaciones de cifrado

Muchas herramientas de ataque Golden Ticket utilizan por defecto cifrado RC4 al falsificar tickets. Si su entorno exige autenticación Kerberos solo con AES, cualquier ticket cifrado con RC4 representa un indicador de alta confianza de falsificación. Configure alertas para el tipo de cifrado RC4 en eventos de autenticación Kerberos e investigue todas las ocurrencias de inmediato.

Rastree intentos de acceso a credenciales

Los ataques Golden Ticket requieren la extracción previa del hash KRBTGT. Monitorice los controladores de dominio para la fase de robo de credenciales prerrequisito:

• Acceso inusual a la memoria del proceso LSASS
• Operaciones o intentos de extracción del archivo de base de datos NTDS.dit
• Creación de copias de volumen en sombra dirigidas al estado del sistema
• Ejecución de herramientas conocidas de extracción de credenciales como Mimikatz o secretsdump

Detectar intentos de robo de credenciales proporciona una advertencia más temprana que esperar al uso de tickets falsificados.

Implemente análisis de comportamiento

Establezca líneas base de autenticación para cada cuenta de usuario según patrones normales de acceso a recursos, horarios laborales y ubicaciones de red. Las plataformas de análisis de comportamiento identifican desviaciones de estas líneas base, como un usuario que de repente se autentica en sistemas sensibles fuera de su función laboral o accede a recursos desde segmentos de red desconocidos. Estas anomalías suelen indicar el uso de Golden Ticket incluso cuando los eventos individuales de autenticación parecen legítimos.

Correlacione telemetría de endpoint e identidad

La detección efectiva requiere correlacionar datos entre fuentes de endpoint, identidad y red. Conecte eventos de acceso a memoria LSASS en controladores de dominio con anomalías posteriores de autenticación Kerberos para identificar la secuencia de robo de credenciales a falsificación de tickets. Las plataformas de seguridad de identidad pueden automatizar esta correlación y alertar sobre la progresión de la cadena de ataque.

Las capacidades de detección informan sus estrategias de prevención y respuesta.

Cómo prevenir y mitigar ataques Golden Ticket

Prevenir ataques Golden Ticket requiere proteger la cuenta KRBTGT, reforzar el acceso a los controladores de dominio e implementar controles que limiten el movimiento del adversario incluso después del compromiso de credenciales.

Implemente la rotación regular de la contraseña KRBTGT

Establezca un protocolo programado de restablecimiento de contraseña KRBTGT. Debido a que Active Directory mantiene tanto los hashes de contraseña actuales como los anteriores por compatibilidad, debe restablecer la contraseña KRBTGT dos veces para invalidar completamente cualquier Golden Ticket existente. Programe estos restablecimientos en intervalos apropiados para su tolerancia al riesgo, siendo común la rotación trimestral en muchas organizaciones.

Refuerce el acceso a los controladores de dominio

Restringa el acceso administrativo a los controladores de dominio mediante estaciones de trabajo de acceso privilegiado y servidores de salto con monitorización de sesiones. Implemente segmentación de red que limite qué sistemas pueden comunicarse directamente con los controladores de dominio. Despliegue soluciones de detección y respuesta en endpoints en los controladores de dominio para monitorizar herramientas de extracción de credenciales y actividad de procesos sospechosos dirigida a LSASS o NTDS.dit.

Higiene de credenciales

Separe cuentas privilegiadas y no privilegiadas para administradores. Las credenciales de Domain Admin nunca deben usarse en estaciones de trabajo estándar donde es más probable el robo de credenciales. Implemente acceso administrativo de tiempo limitado que expire automáticamente, reduciendo la ventana para la extracción de credenciales.

Deshabilite protocolos de autenticación heredados

Deshabilite el cifrado RC4 para la autenticación Kerberos y exija cifrado AES en todo su dominio. Esto crea una señal de detección de alta fidelidad cuando los atacantes utilizan herramientas antiguas que por defecto usan RC4 para la falsificación de tickets. Revise y deshabilite otros protocolos heredados como NTLM cuando sea posible para reducir la superficie de ataque general para el robo de credenciales.

Implemente tecnología de engaño

Las defensas basadas en engaño crean cachés de credenciales falsas y cuentas trampa que atraen a los adversarios durante el reconocimiento. Cuando los atacantes interactúan con estos cebos, recibe alertas inmediatas sobre intentos activos de compromiso. Este enfoque identifica la actividad de robo de credenciales antes de que los adversarios lleguen al hash KRBTGT.

Prepare libros de respuesta a incidentes

Documente y practique los procedimientos de respuesta a incidentes Golden Ticket. Su libro debe incluir el protocolo de doble restablecimiento de KRBTGT, pasos para revocar todos los tickets Kerberos existentes, procedimientos para restablecer credenciales de cuentas privilegiadas y directrices de análisis forense para identificar vectores de compromiso inicial. La ejecución rápida de estos procedimientos limita la persistencia del adversario.

Estos controles preventivos funcionan junto con las capacidades de detección para reducir el riesgo de Golden Ticket en todo su entorno.

Por qué es importante comprender la mecánica del Golden Ticket

Los equipos de seguridad que comprenden la mecánica del ataque Golden Ticket pueden cambiar su estrategia de monitorización de la detección basada en firmas al análisis de comportamiento. Las herramientas basadas en firmas fallan porque los tickets falsificados son criptográficamente válidos. El análisis de comportamiento identifica patrones anómalos de autenticación Kerberos, como solicitudes de TGT inusuales, operaciones de tickets de servicio desde direcciones IP inesperadas y tickets con períodos de validez anormales.

Esta comprensión también mejora la preparación para la respuesta a incidentes. Sus libros de respuesta deben incluir el protocolo de doble restablecimiento de contraseñas KRBTGT, procedimientos de análisis forense para volcados de memoria LSASS y extracción de NTDS.dit, y estrategias de contención para escenarios de acceso en todo el dominio.

Los prerrequisitos del ataque también crean ventanas de detección para su equipo de seguridad.

Limitaciones del ataque Golden Ticket

Los adversarios deben obtener el hash de la contraseña de la cuenta KRBTGT antes de ejecutar un ataque Golden Ticket, lo que crea oportunidades de detección para los defensores.

• Requisito de acceso al controlador de dominio: Los adversarios deben primero comprometer los controladores de dominio o sistemas privilegiados equivalentes para extraer hashes KRBTGT. Esto crea una ventana de detección durante la fase de acceso a credenciales. Monitorice intentos inusuales de acceso a controladores de dominio, manipulación del proceso LSASS y patrones de acceso a la base de datos NTDS.dit.
• Indicadores de anomalía criptográfica: Los tickets falsificados frecuentemente exhiben características identificables. El uso de cifrado RC4 en entornos que han deshabilitado RC4 representa una señal de alta confianza. También puede encontrar tickets con períodos de validez excesivamente largos, estructuras de datos PAC ausentes y eventos de autenticación desde direcciones IP inesperadas.
• Clasificación post-compromiso: Los Golden Tickets funcionan como técnicas de post-explotación dentro de cadenas de ataque de múltiples etapas. Los adversarios no obtienen valor de la falsificación de tickets sin antes establecer acceso a la red, realizar reconocimiento, lograr escalamiento de privilegios y extraer el hash KRBTGT. Su estrategia de defensa en profundidad debe centrarse en prevenir la secuencia de compromiso inicial en lugar de monitorizar exclusivamente el uso de Golden Ticket tras el despliegue.

A pesar de estas limitaciones, los equipos de seguridad frecuentemente cometen errores que debilitan sus defensas.

Errores comunes en la defensa contra ataques Golden Ticket

Los equipos de seguridad cometen cuatro errores comunes al defenderse de ataques Golden Ticket.

1. Restablecimiento único de la contraseña KRBTGT: Usted restablece la contraseña KRBTGT una vez y asume que los Golden Tickets existentes están invalidados. Active Directory mantiene tanto el hash de contraseña actual como el anterior. Los restablecimientos únicos dejan el hash anterior válido, por lo que los tickets falsificados de los adversarios siguen funcionando. Debe restablecer la contraseña KRBTGT dos veces para invalidar completamente los tickets falsificados.
2. Dependencia de la detección basada en firmas: Usted implementa controles de seguridad basados en firmas esperando detectar ataques Golden Ticket mediante coincidencia de patrones. Sus herramientas de seguridad no pueden distinguir criptográficamente los tickets falsificados de los legítimos cuando están cifrados con claves KRBTGT válidas. Necesita monitorización basada en análisis de comportamiento de patrones anómalos de Kerberos.
3. Retención insuficiente de registros de eventos: Mantiene una retención insuficiente de registros de eventos de seguridad de Windows y pierde la línea de tiempo extendida de investigación requerida para la forensia de Golden Ticket. Los adversarios pueden esperar entre la extracción del hash KRBTGT y la explotación activa. Los equipos de seguridad necesitan una retención extendida de registros para correlacionar el compromiso inicial con el uso posterior de tickets.
4. Ignorar fases de ataque prerrequisito: Se enfoca exclusivamente en identificar el uso de Golden Ticket mientras ignora la fase de robo de credenciales que debe ocurrir primero. La alerta CISA AA23-250a documenta actores APT realizando volcados de memoria LSASS antes de obtener acceso administrativo. Detecte la fase de extracción de credenciales monitorizando interacciones inusuales con el proceso LSASS y la ejecución de herramientas conocidas de extracción de credenciales.

Evitar estos errores requiere implementar controles de seguridad basados en evidencia.

Mejores prácticas para la protección contra ataques Golden Ticket

Defenderse de ataques Golden Ticket requiere implementar controles de seguridad centrados en la gestión de la cuenta KRBTGT, la monitorización de la autenticación Kerberos y una respuesta rápida a incidentes.

• Restablezca la contraseña de la cuenta KRBTGT dos veces: Establezca cronogramas regulares de restablecimiento de contraseña KRBTGT siguiendo el protocolo de doble restablecimiento. Active Directory mantiene tanto el hash de contraseña actual como el anterior de KRBTGT por compatibilidad hacia atrás, por lo que un solo restablecimiento deja válidos los Golden Tickets existentes. Solo el segundo restablecimiento invalida completamente todos los tickets falsificados.
• Configure SIEM para monitorización Kerberos: Configure los sistemas de Gestión de Información y Eventos de Seguridad (SIEM) para detectar los ID de evento de Windows 4768, 4769, 4770 y 4771 en busca de patrones anómalos. Su monitorización debe marcar:

1. Uso de cifrado RC4 en entornos solo AES
2. Tickets con períodos de validez anormales
3. Eventos de autenticación desde direcciones IP inesperadas
4. Solicitudes de servicio inconsistentes con las líneas base del rol del usuario

Correlacione el acceso anómalo a archivos con solicitudes inusuales de tickets de servicio Kerberos. Las plataformas de seguridad de identidad como Singularity Identity detectan intentos de robo de credenciales y escalamiento de privilegios en tiempo real, alertando cuando los adversarios apuntan a la infraestructura de Active Directory.

• Proteja el acceso a los controladores de dominio: Implemente controles de gestión de acceso privilegiado que restrinjan el acceso administrativo a los controladores de dominio a jump boxes dedicados con monitorización de sesiones. Despliegue soluciones de detección y respuesta en endpoints (EDR) en los controladores de dominio para monitorizar herramientas de volcado de credenciales.
• Implemente análisis de comportamiento: Implemente análisis que identifiquen intentos de falsificación o reproducción de tickets Kerberos mediante la monitorización de secuencias de autenticación anómalas. Singularity XDR automatiza esta correlación, conectando anomalías de autenticación con eventos de endpoint para reconstruir cadenas de ataque Golden Ticket.
• Mantenga retención extendida de registros: Extienda la retención de registros de eventos de seguridad de Windows para permitir la investigación forense de cadenas de ataque completas. Centralice los registros de autenticación Kerberos en su plataforma SIEM con reglas de correlación para anomalías de autenticación.

Implementar estos controles manualmente requiere recursos significativos. Las plataformas de seguridad pueden automatizar gran parte de este trabajo.

Detenga ataques Golden Ticket con SentinelOne

La plataforma Singularity™ de SentinelOne proporciona el análisis de comportamiento y la correlación autónoma necesarios para identificar ataques Golden Ticket en todo su entorno.

Singularity™ XDR demostró 88% menos alertas que la mediana de todos los proveedores en las Evaluaciones MITRE ATT&CK 2024, logrando una precisión de detección del 100%. Esto permite que su equipo de seguridad se enfoque en amenazas reales en lugar de investigar falsos positivos. La tecnología Storyline de la plataforma reconstruye cadenas de ataque con respuesta a velocidad de máquina, conectando eventos de acceso a memoria LSASS con anomalías posteriores de autenticación Kerberos para identificar la secuencia de robo de credenciales a falsificación de tickets.

Singularity™ Identity defiende entornos híbridos: tanto Active Directory como proveedores de identidad en la nube, incluidos Entra ID, Okta, Ping, SecureAuth y Duo. La plataforma detecta intentos de robo de credenciales, bloquea el movimiento lateral y utiliza tecnología de engaño para desviar a los atacantes de la infraestructura de AD mientras genera telemetría para la investigación.

Purple AI acelera la búsqueda de amenazas con consultas en lenguaje natural y análisis impulsado por IA. Al investigar actividad potencial de Golden Ticket, Purple AI correlaciona indicadores de autenticación en múltiples eventos, reduciendo falsos positivos y acelerando las investigaciones.

SentinelOne Wayfinder Managed Detection and Response es un servicio gestionado 24/7/365 con analistas expertos internos que agregan contexto humano a las detecciones automatizadas. Sus analistas pueden realizar análisis forense profundo y ejecutar una respuesta a incidentes efectiva. MDR Elite le brinda preparación integrada para incidentes y lo prepara para momentos de alta presión. Obtiene acceso a retenciones IRR y expertos DFIR bajo demanda.

SentinelOne Singularity™ Network Discovery puede realizar descubrimiento de red e identificar dispositivos no autorizados en las redes. Identifica, aísla y contiene amenazas tras el descubrimiento y previene el movimiento lateral. Network Discovery puede descubrir dispositivos no gestionados y aislarlos con un solo clic. También monitoriza cómo los dispositivos desconocidos se comunican con hosts gestionados. Puede crear políticas y alternar entre ellas, incluso para subredes.

SentinelOne Cloud Workload Security protege instancias en la nube (AWS, Azure, Google Cloud) y contenedores Kubernetes, lo cual es fundamental para defenderse de ataques Golden Ticket que pueden extenderse a entornos en la nube mediante infraestructuras híbridas unidas al dominio.

Los motores de IA de comportamiento de SentinelOne (estáticos y en tiempo de ejecución) pueden detener el robo de credenciales y detectar patrones de autenticación anormales antes de que ocurra cualquier falsificación de tickets, deteniendo así los ataques temprano en la cadena de ataque.

Solicite una demostración de SentinelOne para ver cómo estas capacidades detienen ataques Golden Ticket en su entorno.