Qu'est-ce qu'une attaque Golden Ticket ?

Qu'est-ce qu'une attaque Golden Ticket ?

Vous faites face à un attaquant qui exfiltre le hachage du mot de passe KRBTGT de votre domaine. Peu après, il forge un ticket Kerberos lui accordant des privilèges d'administrateur du domaine pour les 10 prochaines années. Vos contrôleurs de domaine font entièrement confiance à ce ticket forgé : ils ne peuvent pas le distinguer d'une authentification légitime.

C'est une attaque Golden Ticket. Les adversaires forgent des Ticket-Granting Tickets (TGT) en utilisant des hachages de mot de passe du compte KRBTGT volés, créant des identifiants cryptographiquement valides qui contournent les contrôles de sécurité standards. Si un ticket est chiffré avec la clé à long terme du compte KRBTGT, le service de délivrance de tickets de votre KDC considère qu'il s'agit d'une demande authentique pour un utilisateur authentique. Vos contrôleurs de domaine ne peuvent pas distinguer les tickets forgés des tickets légitimes car les signatures cryptographiques semblent mathématiquement identiques.

La CISA continue de documenter le vol d'identifiants et les attaques basées sur Kerberos dans les campagnes d'États-nations et les opérations de  ransomware ciblant les infrastructures critiques, faisant de cette technique l'une des attaques post-exploitation les plus persistantes auxquelles les entreprises sont confrontées.

Trois prérequis sont nécessaires avant que les adversaires puissent exécuter des attaques Golden Ticket : un accès administratif à votre contrôleur de domaine ou à un système privilégié équivalent, l'extraction du hachage du compte KRBTGT depuis votre base de données NTDS.dit ou la mémoire du processus LSASS, et la collecte du FQDN de votre domaine, du SID du domaine et des informations sur l'utilisateur cible. Une fois ces conditions réunies, les adversaires forgent les tickets entièrement en dehors de votre réseau ; aucune communication avec le contrôleur de domaine n'est requise.

Lien entre Golden Ticket et la cybersécurité

Les attaques Golden Ticket représentent des attaques basées sur l'identité qui contournent les contrôles de sécurité axés sur la défense du périmètre réseau et la  sécurité des endpoints. Vous vous défendez contre des adversaires qui ont dépassé la compromission initiale pour atteindre la phase d'accès aux identifiants dans des chaînes d'attaque sophistiquées.

Vos contrôles de sécurité standards échouent car les tickets forgés apparaissent cryptographiquement identiques aux événements d'authentification légitimes. La détection basée sur les signatures ne peut pas identifier les Golden Tickets. L'authentification multifacteur ne protège pas contre eux. Les politiques de mot de passe deviennent sans effet. Les organisations doivent réinitialiser deux fois le mot de passe KRBTGT pour invalider les Golden Tickets existants.

MITRE ATT&CK classe formellement la technique sous trois tactiques simultanément : 

• Credential Access (T1558.001),
• Lateral Movement (permettant l'accès aux ressources à l'échelle du domaine),
• Persistence (les tickets restent valides pendant des années). 

Les avis de la CISA confirment que des acteurs APT sponsorisés par l'État russe ont ciblé des serveurs Windows Active Directory pour l' élévation de privilèges, et des opérations de ransomware comme Akira ciblent activement l'infrastructure d'authentification Kerberos en utilisant des outils d' extraction d'identifiants.

Pour se défendre contre les attaques Golden Ticket, il faut d'abord comprendre les composants Kerberos exploités par les adversaires.

Impact d'une attaque Golden Ticket sur une organisation

Une attaque Golden Ticket réussie donne aux adversaires un accès illimité à toutes les ressources de votre environnement Active Directory. Ils s'authentifient en tant que n'importe quel utilisateur, accèdent à n'importe quel système et maintiennent cet accès pendant des mois ou des années sans déclencher d'alertes de sécurité standard.

Accès aux ressources à l'échelle du domaine

Les adversaires disposant de TGT forgés se déplacent librement dans votre environnement. Ils accèdent aux serveurs de fichiers contenant des propriétés intellectuelles sensibles, s'authentifient sur les systèmes de messagerie pour les communications professionnelles, interrogent les bases de données contenant des dossiers clients et se connectent à l'infrastructure de sauvegarde. Vos contrôles de sécurité voient une authentification Kerberos légitime, pas un accès non autorisé.

Accès persistant à long terme

Les Golden Tickets fonctionnent comme des portes dérobées qui survivent aux actions classiques de réponse à incident. La réinitialisation des mots de passe des comptes compromis n'a aucun effet. La désactivation des comptes utilisateurs ne révoque pas l'accès. Les tickets forgés restent valides jusqu'à ce que vous complétiez la procédure de double réinitialisation du mot de passe KRBTGT sur tous les contrôleurs de domaine, un processus que de nombreuses organisations retardent en raison des préoccupations opérationnelles liées à l'interruption de service.

Exfiltration de données et exposition réglementaire

L'accès illimité au domaine permet le vol de données à grande échelle. Les adversaires peuvent extraire systématiquement des bases de données clients, des dossiers financiers, des informations sur les employés et des données commerciales propriétaires. Pour les organisations soumises au RGPD, à la HIPAA ou à la PCI-DSS, une compromission Golden Ticket déclenche généralement des obligations de notification de violation et des sanctions réglementaires potentielles.

Coûts opérationnels et de reprise

La reprise après une attaque Golden Ticket nécessite des ressources importantes. Vous devez réinitialiser deux fois le mot de passe KRBTGT sur tous les contrôleurs de domaine, révoquer tous les tickets Kerberos existants, réinitialiser les identifiants des comptes privilégiés, mener une analyse forensique pour identifier les vecteurs de compromission initiaux et potentiellement reconstruire les contrôleurs de domaine compromis à partir de sauvegardes saines. Les organisations découvrent souvent l'utilisation de Golden Ticket des semaines ou des mois après le déploiement initial, élargissant ainsi le périmètre de l'enquête forensique.

Ces impacts font des attaques Golden Ticket l'une des compromissions Active Directory les plus graves. S'en défendre nécessite de comprendre les composants fondamentaux de l'attaque.

Composants fondamentaux d'une attaque Golden Ticket

Les attaques Golden Ticket exploitent quatre composants Kerberos : le compte de service KRBTGT, les TGT, les structures PAC et le KDC.

• Compte KRBTGT : Le compte KRBTGT est le compte de service Kerberos de votre domaine. Chaque contrôleur de domaine utilise son hachage de mot de passe pour chiffrer et signer tous les TGT. Lorsque les adversaires extraient ce hachage, ils possèdent la clé cryptographique validant chaque ticket d'authentification de votre domaine.
• Ticket-Granting Ticket (TGT) : Les TGT servent d'identifiants d'authentification que votre KDC délivre après la connexion réussie d'un utilisateur. Les utilisateurs présentent les TGT pour demander des tickets de service pour des ressources spécifiques. Les TGT normaux expirent après des périodes de validité limitées, tandis que les Golden Tickets forgés peuvent avoir des dates d'expiration arbitraires.
• Privilege Attribute Certificate (PAC) : Le PAC contient les données d'autorisation intégrées dans les tickets Kerberos, spécifiant les appartenances à des groupes, privilèges et droits d'accès de l'utilisateur. Les adversaires forgent les données PAC pour s'accorder des privilèges d'administrateur du domaine, indépendamment des permissions réelles de leur compte.
• Key Distribution Center (KDC) : Votre KDC fonctionne sur les contrôleurs de domaine et gère toutes les demandes d'authentification Kerberos, validant les tickets en vérifiant les signatures cryptographiques à l'aide du hachage du compte KRBTGT.

Ces quatre composants interagissent dans une séquence spécifique lors d'une attaque Golden Ticket.

Techniques utilisées pour forger un Golden Ticket

Les adversaires utilisent des outils spécialisés et des méthodologies établies pour extraire les hachages KRBTGT et forger des TGT. Comprendre ces techniques vous aide à identifier les tentatives de vol d'identifiants avant que les attaquants ne terminent le processus de falsification.

Méthodes d'extraction du hachage KRBTGT

Les adversaires extraient le hachage du mot de passe KRBTGT via deux vecteurs principaux. Le premier cible le fichier de base de données NTDS.dit sur les contrôleurs de domaine, qui stocke tous les identifiants Active Directory. Des outils comme ntdsutil, secretsdump ou la copie de l'ombre de volume permettent une extraction hors ligne. Le second vecteur cible la mémoire du processus LSASS sur les contrôleurs de domaine, où le matériel d'identification existe en clair ou sous des formats facilement réversibles.

Outils d'attaque courants

MITRE ATT&CK documente plusieurs outils utilisés par les adversaires pour les attaques Golden Ticket :

• Mimikatz : L'outil le plus documenté, capable à la fois d'extraire KRBTGT et de forger des tickets via son module kerberos::golden
• Rubeus : Une implémentation C# offrant des capacités similaires avec une meilleure évasion des contrôles de sécurité
• Impacket : Boîte à outils Python incluant ticketer.py pour la génération de TGT
• Sliver : Framework de commande et contrôle avec manipulation de tickets Kerberos intégrée

Processus de falsification hors ligne

Après avoir extrait le hachage KRBTGT, les adversaires construisent des tickets forgés sur des systèmes en dehors de votre réseau. Ils spécifient le SID du domaine, le nom d'utilisateur cible, les appartenances à des groupes (généralement Domain Admins) et des périodes de validité arbitraires. Le processus de falsification ne nécessite aucune communication avec vos contrôleurs de domaine, le rendant invisible pour la surveillance réseau jusqu'à ce que l'adversaire injecte le ticket et commence l'authentification.

Reconnaître ces techniques façonne votre stratégie de surveillance pour les indicateurs signalant des attaques actives.

Indicateurs d'une attaque Golden Ticket

Les attaques Golden Ticket génèrent des schémas identifiables dans les journaux d'authentification, le trafic réseau et la télémétrie des endpoints. Votre équipe de sécurité peut trouver ces indicateurs en surveillant les anomalies qui dévient du comportement Kerberos normal.

Anomalies dans les journaux d'authentification

Les journaux d'événements de sécurité Windows capturent l'activité Kerberos révélant l'utilisation de Golden Ticket. Les ID d'événement 4768, 4769 et 4770 enregistrent les demandes de TGT, les demandes de tickets de service et les renouvellements de tickets. Recherchez les tickets avec des périodes de validité inhabituellement longues, les événements d'authentification provenant d'adresses IP inattendues et les demandes de service incohérentes avec le rôle ou les habitudes d'accès de l'utilisateur.

Signaux de rétrogradation du chiffrement

Les tickets forgés utilisent fréquemment le chiffrement RC4 car les anciens outils d'attaque utilisent par défaut cet algorithme. Dans les environnements ayant désactivé RC4 au profit du chiffrement AES, tout ticket Kerberos chiffré en RC4 représente un indicateur à forte confiance. Configurez votre SIEM pour alerter sur l'utilisation de RC4 lorsque votre politique de domaine impose l'authentification AES uniquement.

Précurseurs d'accès aux identifiants

Le déploiement d'un Golden Ticket nécessite un vol d'identifiants préalable. Surveillez les phases d'attaque préalables : accès inhabituel au processus LSASS, opérations sur le fichier NTDS.dit, création de copies de l'ombre de volume sur les contrôleurs de domaine et exécution d'outils connus d'extraction d'identifiants. Détecter les tentatives d'accès aux identifiants fournit une alerte plus précoce que la surveillance de la seule falsification de tickets.

Déviations du comportement de référence

Les utilisateurs s'authentifient sur des ensembles de ressources prévisibles selon leur fonction. L'utilisation d'un Golden Ticket crée souvent des schémas d'authentification qui dévient des références établies. Un compte utilisateur demandant soudainement des tickets de service pour des systèmes hors de son périmètre habituel, s'authentifiant depuis des segments réseau inconnus ou accédant à des ressources sensibles à des heures inhabituelles doit faire l'objet d'une enquête immédiate.

Ces indicateurs informent la structuration de vos capacités de surveillance et de réponse.

Comment fonctionne une attaque Golden Ticket

Les attaques Golden Ticket sont des techniques post-exploitation nécessitant que les adversaires obtiennent d'abord un accès administratif aux contrôleurs de domaine et extraient le hachage du mot de passe du compte KRBTGT avant de forger des TGT.

• Phase 1-2 : Compromission initiale et extraction KRBTGT : Les adversaires établissent un accès initial via le phishing, l'exploitation de vulnérabilités ou le vol d'identifiants. L'avis CISA AA23-250a documente des acteurs APT exploitant CVE-2022-47966 dans Zoho ManageEngine, réalisant des dumps mémoire LSASS pour collecter des identifiants sur l'ensemble des domaines  Active Directory. Les adversaires déploient des outils comme Mimikatz, Rubeus ou Sliver pour extraire le hachage du mot de passe KRBTGT et l'exfiltrer vers un système externe.
• Phase 3 : Falsification de tickets : Les adversaires construisent des TGT forgés hors ligne en utilisant le hachage KRBTGT volé, le SID du domaine et les informations sur l'utilisateur cible. Ils spécifient des privilèges arbitraires dans la structure de données PAC, généralement l'appartenance au groupe Domain Admins, définissent des périodes de validité étendues et chiffrent le ticket forgé avec le hachage KRBTGT volé.
• Phase 4-5 : Mouvement latéral et accès persistant : Les adversaires injectent les TGT forgés en mémoire sur des systèmes compromis et demandent des tickets de service dans votre domaine. Votre KDC valide la signature cryptographique du TGT forgé et délivre des tickets de service. Les adversaires s'authentifient sur des serveurs de fichiers, des bases de données, des infrastructures de messagerie et de sauvegarde en utilisant des identifiants forgés. La double réinitialisation du mot de passe KRBTGT est essentielle car les contrôleurs de domaine conservent à la fois les hachages de mot de passe actuels et précédents pour la rétrocompatibilité.

Reconnaître ces phases d'attaque façonne votre stratégie de surveillance et de réponse.

Comment détecter une attaque Golden Ticket

La détection des attaques Golden Ticket nécessite la surveillance des schémas d'authentification Kerberos et la corrélation des anomalies à travers votre infrastructure de sécurité. Les outils basés sur les signatures ne peuvent pas identifier les tickets forgés car ils sont cryptographiquement valides. Votre stratégie de détection doit se concentrer sur l'analytique comportementale et les anomalies d'authentification.

Configurer la surveillance SIEM des événements Kerberos

Les journaux d'événements de sécurité Windows constituent la principale source de données pour la détection des Golden Ticket. Configurez votre SIEM pour collecter et analyser les  ID d'événement 4768, 4769, 4770 et 4771, qui enregistrent les demandes de TGT, les demandes de tickets de service, les renouvellements de tickets et les échecs d'authentification. Créez des règles de corrélation qui signalent les tickets dont la période de validité dépasse la politique de votre domaine, les demandes d'authentification provenant d'adresses IP hors des habitudes normales des utilisateurs et les demandes de tickets de service incohérentes avec les références comportementales établies.

Surveiller les rétrogradations de chiffrement

De nombreux outils d'attaque Golden Ticket utilisent par défaut le chiffrement RC4 lors de la falsification des tickets. Si votre environnement impose l'authentification Kerberos AES uniquement, tout ticket chiffré en RC4 représente un indicateur à forte confiance de falsification. Configurez des alertes pour le type de chiffrement RC4 dans les événements d'authentification Kerberos et enquêtez immédiatement sur toutes les occurrences.

Suivre les tentatives d'accès aux identifiants

Les attaques Golden Ticket nécessitent l'extraction préalable du hachage KRBTGT. Surveillez les contrôleurs de domaine pour la phase préalable de vol d'identifiants :

• Accès inhabituel à la mémoire du processus LSASS
• Opérations ou tentatives d'extraction sur le fichier de base de données NTDS.dit
• Création de copies de l'ombre de volume ciblant l'état du système
• Exécution d'outils connus d'extraction d'identifiants comme Mimikatz ou secretsdump

Détecter les tentatives de vol d'identifiants fournit une alerte plus précoce que d'attendre l'utilisation de tickets forgés.

Déployer l'analytique comportementale

Établissez des références d'authentification pour chaque compte utilisateur en fonction des schémas d'accès aux ressources, des horaires de travail et des emplacements réseau habituels. Les plateformes d'analytique comportementale identifient les déviations par rapport à ces références, comme un utilisateur s'authentifiant soudainement sur des systèmes sensibles hors de sa fonction ou accédant à des ressources depuis des segments réseau inconnus. Ces anomalies indiquent souvent l'utilisation d'un Golden Ticket même lorsque les événements d'authentification individuels semblent légitimes.

Corréler la télémétrie endpoint et identité

Une détection efficace nécessite la corrélation des données issues des endpoints, de l'identité et du réseau. Reliez les événements d'accès à la mémoire LSASS sur les contrôleurs de domaine avec les anomalies d'authentification Kerberos ultérieures pour identifier la séquence vol d'identifiants - falsification de tickets. Les plateformes de sécurité des identités peuvent automatiser cette corrélation et alerter sur la progression de la chaîne d'attaque.

Les capacités de détection informent vos stratégies de prévention et de réponse.

Comment prévenir et atténuer les attaques Golden Ticket

Prévenir les attaques Golden Ticket nécessite de protéger le compte KRBTGT, de renforcer l'accès aux contrôleurs de domaine et de mettre en œuvre des contrôles limitant les déplacements des adversaires même après une compromission d'identifiants.

Mettre en place une rotation régulière du mot de passe KRBTGT

Établissez un protocole planifié de réinitialisation du mot de passe KRBTGT. Comme Active Directory conserve à la fois les hachages de mot de passe actuels et précédents pour la rétrocompatibilité, vous devez réinitialiser deux fois le mot de passe KRBTGT pour invalider complètement les Golden Tickets existants. Planifiez ces réinitialisations à des intervalles adaptés à votre tolérance au risque, de nombreuses organisations effectuant des rotations trimestrielles.

Renforcer l'accès aux contrôleurs de domaine

Restreignez l'accès administratif aux contrôleurs de domaine via des postes de travail d'accès privilégié et des jump servers avec surveillance de session. Mettez en place une segmentation réseau limitant les systèmes pouvant communiquer directement avec les contrôleurs de domaine. Déployez des solutions de détection et de réponse sur les endpoints sur les contrôleurs de domaine pour surveiller les outils d'extraction d'identifiants et les activités suspectes ciblant LSASS ou NTDS.dit.

Imposer l'hygiène des identifiants

Séparez les comptes privilégiés et non privilégiés pour les administrateurs. Les identifiants Domain Admin ne doivent jamais être utilisés sur des postes de travail standards où le vol d'identifiants est plus probable. Mettez en place un accès administratif à durée limitée expirant automatiquement, réduisant la fenêtre d'extraction d'identifiants.

Désactiver les protocoles d'authentification hérités

Désactivez le chiffrement RC4 pour l'authentification Kerberos et imposez le chiffrement AES sur l'ensemble de votre domaine. Cela crée un signal de détection à haute fidélité lorsque les attaquants utilisent d'anciens outils par défaut en RC4 pour la falsification de tickets. Examinez et désactivez également d'autres protocoles hérités comme NTLM lorsque possible pour réduire la surface d'attaque globale du vol d'identifiants.

Déployer des technologies de déception

Les défenses basées sur la déception créent de faux caches d'identifiants et des comptes leurres attirant les adversaires lors de la reconnaissance. Lorsque les attaquants interagissent avec ces leurres, vous recevez des alertes immédiates sur des tentatives de compromission active. Cette approche identifie l'activité de vol d'identifiants avant que les adversaires n'atteignent le hachage KRBTGT.

Préparer des playbooks de réponse à incident

Documentez et répétez les procédures de réponse à incident Golden Ticket. Votre playbook doit inclure le protocole de double réinitialisation KRBTGT, les étapes pour révoquer tous les tickets Kerberos existants, les procédures de réinitialisation des identifiants des comptes privilégiés et les lignes directrices d'analyse forensique pour identifier les vecteurs de compromission initiaux. Une exécution rapide de ces procédures limite la persistance des adversaires.

Ces contrôles préventifs fonctionnent de concert avec les capacités de détection pour réduire le risque Golden Ticket dans votre environnement.

Pourquoi comprendre la mécanique du Golden Ticket est important

Les équipes de sécurité qui comprennent la mécanique des attaques Golden Ticket peuvent faire évoluer leur stratégie de surveillance de la détection basée sur les signatures vers l'analytique comportementale. Les outils basés sur les signatures échouent car les tickets forgés sont cryptographiquement valides. L'analytique comportementale identifie les schémas d'authentification Kerberos anormaux tels que des demandes de TGT inhabituelles, des opérations de tickets de service depuis des adresses IP inattendues et des tickets avec des périodes de validité anormales.

Cette compréhension améliore également la préparation à la réponse à incident. Vos playbooks doivent inclure le protocole de double réinitialisation du mot de passe KRBTGT, les procédures d'analyse forensique pour les dumps mémoire LSASS et l'extraction NTDS.dit, ainsi que les stratégies de confinement pour les scénarios d'accès à l'échelle du domaine.

Les prérequis de l'attaque créent également des fenêtres de détection pour votre équipe de sécurité.

Limites de l'attaque Golden Ticket

Les adversaires doivent obtenir le hachage du mot de passe du compte KRBTGT avant d'exécuter une attaque Golden Ticket, ce qui crée des opportunités de détection pour les défenseurs.

• Exigence d'accès au contrôleur de domaine : Les adversaires doivent d'abord compromettre les contrôleurs de domaine ou des systèmes privilégiés équivalents pour extraire les hachages KRBTGT. Cela crée une fenêtre de détection lors de la phase d'accès aux identifiants. Surveillez les tentatives d'accès inhabituelles aux contrôleurs de domaine, la manipulation du processus LSASS et les schémas d'accès à la base de données NTDS.dit.
• Indicateurs d'anomalies cryptographiques : Les tickets forgés présentent fréquemment des caractéristiques identifiables. L'utilisation du chiffrement RC4 dans des environnements ayant désactivé RC4 représente un signal à forte confiance. Vous pouvez également trouver des tickets avec des périodes de validité excessivement longues, des structures PAC manquantes et des événements d'authentification depuis des adresses IP inattendues.
• Classification post-compromission : Les Golden Tickets fonctionnent comme des techniques post-exploitation dans des chaînes d'attaque multi-étapes. Les adversaires n'ont aucun intérêt à forger des tickets sans avoir d'abord établi un accès réseau, mené une reconnaissance, obtenu une élévation de privilèges et extrait le hachage KRBTGT. Votre stratégie de défense en profondeur doit se concentrer sur la prévention de la séquence de compromission initiale plutôt que sur la seule surveillance de l'utilisation des Golden Ticket après leur déploiement.

Malgré ces contraintes, les équipes de sécurité commettent fréquemment des erreurs qui affaiblissent leur défense.

Erreurs courantes dans la défense contre les attaques Golden Ticket

Les équipes de sécurité commettent quatre erreurs courantes lors de la défense contre les attaques Golden Ticket.

1. Réinitialisation unique du mot de passe KRBTGT : Vous réinitialisez une fois le mot de passe KRBTGT et supposez que les Golden Tickets existants sont invalidés. Active Directory conserve à la fois les hachages de mot de passe actuels et précédents. Une seule réinitialisation laisse le hachage précédent valide, donc les tickets forgés des adversaires continuent de fonctionner. Vous devez  réinitialiser deux fois le mot de passe KRBTGT pour invalider complètement les tickets forgés.
2. Dépendance à la détection basée sur les signatures : Vous déployez des contrôles de sécurité basés sur les signatures en espérant détecter les attaques Golden Ticket par correspondance de motifs. Vos outils de sécurité ne peuvent pas distinguer cryptographiquement les tickets forgés des tickets légitimes lorsqu'ils sont chiffrés avec des clés KRBTGT valides. Vous avez besoin d'une surveillance comportementale des schémas Kerberos anormaux à la place.
3. Rétention insuffisante des journaux d'événements : Vous conservez une rétention insuffisante des journaux d'événements de sécurité Windows et manquez la période d'investigation étendue requise pour la forensique Golden Ticket. Les adversaires peuvent attendre entre l'extraction du hachage KRBTGT et l'exploitation active. Les équipes de sécurité ont besoin d'une rétention étendue des journaux pour corréler la compromission initiale avec l'utilisation ultérieure des tickets.
4. Ignorer les phases d'attaque préalables : Vous vous concentrez exclusivement sur l'identification de l'utilisation des Golden Ticket en ignorant la phase préalable de vol d'identifiants qui doit d'abord se produire. L'avis CISA AA23-250a documente des acteurs APT effectuant des dumps mémoire LSASS avant d'obtenir un accès administratif. Détectez la phase d'extraction d'identifiants en surveillant les interactions inhabituelles avec le processus LSASS et l'exécution d'outils connus d'extraction d'identifiants.

Éviter ces erreurs nécessite la mise en œuvre de contrôles de sécurité fondés sur des preuves.

Bonnes pratiques de protection contre l'attaque Golden Ticket

Se défendre contre les attaques Golden Ticket nécessite la mise en œuvre de contrôles de sécurité centrés sur la gestion du compte KRBTGT, la surveillance de l'authentification Kerberos et une réponse à incident rapide.

• Réinitialisez deux fois le mot de passe du compte KRBTGT : Établissez des calendriers réguliers de réinitialisation du mot de passe KRBTGT suivant le protocole de double réinitialisation. Active Directory conserve à la fois les hachages de mot de passe KRBTGT actuels et précédents pour la  rétrocompatibilité, donc une seule réinitialisation laisse valides les Golden Tickets existants. Seule la seconde réinitialisation invalide complètement tous les tickets forgés.
• Configurez le SIEM pour la surveillance Kerberos : Configurez les systèmes de gestion des informations et des événements de sécurité (SIEM) pour détecter les ID d'événement Windows 4768, 4769, 4770 et 4771 pour les schémas anormaux. Votre surveillance doit signaler :

1. Utilisation du chiffrement RC4 dans des environnements AES uniquement
2. Tickets avec des périodes de validité anormales
3. Événements d'authentification depuis des adresses IP inattendues
4. Demandes de service incohérentes avec les références de rôle utilisateur

Corrélez les accès anormaux aux fichiers avec des demandes de tickets de service Kerberos inhabituelles. Les plateformes de sécurité des identités telles que  Singularity Identity détectent en temps réel le vol d'identifiants et les tentatives d'élévation de privilèges lorsque des adversaires ciblent l'infrastructure Active Directory.

• Protégez l'accès aux contrôleurs de domaine : Mettez en œuvre des contrôles de gestion des accès privilégiés restreignant l'accès administratif aux contrôleurs de domaine à des jump boxes dédiées avec surveillance de session. Déployez des solutions de détection et de réponse sur les endpoints (EDR) sur les contrôleurs de domaine pour surveiller les outils de dumping d'identifiants.
• Déployez l'analytique comportementale : Déployez des analyses identifiant les tentatives de falsification ou de rejeu de tickets Kerberos en surveillant les séquences d'authentification anormales. Singularity XDR automatise cette corrélation, reliant les anomalies d'authentification aux événements endpoint pour reconstituer les chaînes d'attaque Golden Ticket.
• Maintenez une rétention étendue des journaux : Étendez la rétention des journaux d'événements de sécurité Windows pour permettre l'investigation forensique des chaînes d'attaque complètes. Centralisez les journaux d'authentification Kerberos dans votre plateforme SIEM avec des règles de corrélation pour les anomalies d'authentification.

La mise en œuvre manuelle de ces contrôles nécessite des ressources importantes. Les plateformes de sécurité peuvent automatiser une grande partie de ce travail.

Stoppez les attaques Golden Ticket avec SentinelOne

La plateforme Singularity™ de SentinelOne fournit l'analytique comportementale et la corrélation autonome nécessaires pour identifier les attaques Golden Ticket dans votre environnement.

Singularity™ XDR a démontré  88 % d'alertes en moins que la médiane de tous les fournisseurs lors des évaluations MITRE ATT&CK 2024 tout en atteignant 100 % de précision de détection. Cela permet à votre équipe de sécurité de se concentrer sur les vraies menaces plutôt que d'enquêter sur des faux positifs. La technologie Storyline de la plateforme reconstitue les chaînes d'attaque à la vitesse de la machine, reliant les accès mémoire LSASS aux anomalies d'authentification Kerberos pour identifier la séquence vol d'identifiants - falsification de tickets.

Singularity™ Identity protège les environnements hybrides : Active Directory et fournisseurs d'identité cloud - y compris Entra ID, Okta, Ping, SecureAuth et Duo. La plateforme détecte les tentatives de vol d'identifiants, bloque les mouvements latéraux et utilise la technologie de déception pour détourner les attaquants de l'infrastructure AD tout en générant de la télémétrie pour l'investigation.

Purple AI accélère la chasse aux menaces avec des requêtes en langage naturel et une analyse pilotée par l'IA. Lors de l'investigation d'une activité potentielle Golden Ticket, Purple AI corrèle les indicateurs d'authentification à travers plusieurs événements, réduisant les faux positifs tout en accélérant les investigations.

SentinelOne Wayfinder Managed Detection and Response est un service managé 24/7/365 avec des analystes experts internes qui ajoutent un contexte humain aux détections automatisées. Leurs analystes peuvent effectuer des analyses forensiques approfondies et mener une réponse à incident efficace. MDR Elite vous offre une préparation intégrée à l'incident et vous prépare aux situations de crise. Vous bénéficiez d'un accès à des forfaits IRR et à des experts DFIR à la demande.

SentinelOne Singularity™ Network Discovery permet la découverte réseau et l'identification des appareils non autorisés sur les réseaux. Il identifie, isole et contient les menaces après découverte et empêche les mouvements latéraux. Network Discovery peut découvrir des appareils non gérés et les isoler en un clic. Il surveille également la façon dont les appareils inconnus communiquent avec les hôtes gérés. Vous pouvez créer des politiques et basculer entre elles, même pour des sous-réseaux.

SentinelOne Cloud Workload Security protège les instances cloud (AWS, Azure, Google Cloud) et les conteneurs Kubernetes - essentiel pour se défendre contre les attaques Golden Ticket pouvant s'étendre aux environnements cloud via des infrastructures hybrides jointes au domaine.

Les moteurs d'IA comportementale de SentinelOne (statique et à l'exécution) peuvent stopper le vol d'identifiants et détecter les schémas d'authentification anormaux avant toute falsification de ticket, stoppant ainsi les attaques tôt dans la chaîne de compromission.

Demandez une démonstration SentinelOne pour voir comment ces capacités stoppent les attaques Golden Ticket dans votre environnement.