Che cos'è un attacco Golden Ticket?

Che cos'è un attacco Golden Ticket?

Affronti un attaccante che esfiltra l'hash della password KRBTGT del tuo dominio. Poco dopo, forgia un ticket Kerberos che gli concede privilegi di Domain Admin per i prossimi 10 anni. I tuoi controller di dominio si fidano completamente di questo ticket contraffatto: non possono distinguerlo da un'autenticazione legittima.

Questo è un attacco Golden Ticket. Gli avversari forgiano Ticket-Granting Ticket (TGT) utilizzando hash di password dell'account KRBTGT rubati, creando credenziali crittograficamente valide che bypassano i controlli di sicurezza standard. Se un ticket è cifrato con la chiave a lungo termine dell'account KRBTGT, il servizio di ticket-granting del tuo KDC presume che si tratti di una richiesta autentica per un utente autentico. I tuoi controller di dominio non possono distinguere i ticket contraffatti da quelli legittimi perché le firme crittografiche risultano matematicamente identiche.

CISA continua a documentare furti di credenziali e attacchi basati su Kerberos in campagne di stati-nazione e operazioni di  ransomware che prendono di mira infrastrutture critiche, rendendo questa tecnica uno degli attacchi post-exploitation più persistenti che le aziende devono affrontare.

Prima che gli avversari possano eseguire attacchi Golden Ticket, devono soddisfare tre prerequisiti: accesso amministrativo al controller di dominio o a un sistema privilegiato equivalente, estrazione dell'hash dell'account KRBTGT dal database NTDS.dit o dalla memoria del processo LSASS, e raccolta delle informazioni FQDN del dominio, SID del dominio e informazioni sull'utente target. Una volta soddisfatte queste condizioni, gli avversari forgiano i ticket completamente al di fuori della tua rete; non è richiesta alcuna comunicazione con il controller di dominio.

Relazione tra Golden Ticket e la cybersecurity

Gli attacchi Golden Ticket rappresentano attacchi basati sull'identità che bypassano i controlli di sicurezza focalizzati sulla difesa del perimetro di rete e sulla  protezione degli endpoint. Devi difenderti da avversari che hanno già superato la compromissione iniziale e sono nella fase di Accesso alle Credenziali di catene di attacco sofisticate.

I tuoi controlli di sicurezza standard falliscono perché i ticket contraffatti appaiono crittograficamente identici agli eventi di autenticazione legittimi. I rilevamenti basati su firma non possono identificare i Golden Ticket. L'autenticazione a più fattori non protegge da questi attacchi. Le policy sulle password diventano irrilevanti. Le organizzazioni devono reimpostare la password KRBTGT due volte per invalidare i Golden Ticket esistenti.

MITRE ATT&CK classifica formalmente la tecnica sotto tre tattiche contemporaneamente: 

• Credential Access (T1558.001),
• Lateral Movement (abilitando l'accesso alle risorse a livello di dominio),
• Persistence (i ticket rimangono validi per anni). 

Le advisory CISA confermano che attori APT sponsorizzati dallo stato russo hanno preso di mira server Windows Active Directory per  escalation dei privilegi, e operazioni ransomware come Akira prendono attivamente di mira l'infrastruttura di autenticazione Kerberos utilizzando strumenti di  estrazione delle credenziali.

Per difendersi dagli attacchi Golden Ticket, è necessario prima comprendere i componenti Kerberos che gli avversari sfruttano.

Impatto di un attacco Golden Ticket su un'organizzazione

Un attacco Golden Ticket riuscito concede agli avversari accesso illimitato a ogni risorsa nel tuo ambiente Active Directory. Possono autenticarsi come qualsiasi utente, accedere a qualsiasi sistema e mantenere questo accesso per mesi o anni senza generare allarmi di sicurezza standard.

Accesso alle risorse a livello di dominio

Gli avversari con TGT contraffatti si muovono liberamente nel tuo ambiente. Accedono a file server contenenti proprietà intellettuale sensibile, si autenticano ai sistemi di posta elettronica per comunicazioni aziendali, interrogano database con dati dei clienti e si collegano all'infrastruttura di backup. I tuoi controlli di sicurezza vedono autenticazioni Kerberos legittime, non accessi non autorizzati.

Accesso persistente a lungo termine

I Golden Ticket funzionano come backdoor che sopravvivono alle tipiche azioni di incident response. Il reset delle password degli account compromessi non ha effetto. La disabilitazione degli account utente non revoca l'accesso. I ticket contraffatti rimangono validi fino al completamento del protocollo di doppio reset della password KRBTGT su tutti i controller di dominio, un processo che molte organizzazioni ritardano per timori operativi di interruzione dei servizi.

Esfiltrazione dei dati ed esposizione normativa

L'accesso illimitato al dominio consente furti di dati su larga scala. Gli avversari possono estrarre sistematicamente database clienti, registri finanziari, informazioni sui dipendenti e dati aziendali proprietari. Per le organizzazioni soggette a GDPR, HIPAA o PCI-DSS, una compromissione Golden Ticket in genere attiva obblighi di notifica di violazione e potenziali sanzioni normative.

Costi operativi e di ripristino

Il recupero da attacchi Golden Ticket richiede risorse significative. Devi reimpostare la password KRBTGT due volte su tutti i controller di dominio, revocare tutti i ticket Kerberos esistenti, reimpostare le credenziali degli account privilegiati, condurre analisi forensi per identificare i vettori di compromissione iniziale e potenzialmente ricostruire i controller di dominio compromessi da backup puliti. Le organizzazioni spesso scoprono l'uso di Golden Ticket settimane o mesi dopo il dispiegamento iniziale, ampliando l'ambito dell'indagine forense.

Questi impatti rendono gli attacchi Golden Ticket tra le compromissioni Active Directory più gravi. Difendersi richiede la comprensione dei componenti chiave dell'attacco.

Componenti chiave di un attacco Golden Ticket

Gli attacchi Golden Ticket sfruttano quattro componenti Kerberos: l'account di servizio KRBTGT, i TGT, le strutture PAC e il KDC.

• Account KRBTGT: L'account KRBTGT è l'account di servizio Kerberos del tuo dominio. Ogni controller di dominio utilizza il suo hash di password per cifrare e firmare tutti i TGT. Quando gli avversari estraggono questo hash, possiedono la chiave crittografica che valida ogni ticket di autenticazione nel tuo dominio.
• Ticket-Granting Ticket (TGT): I TGT funzionano come credenziali di autenticazione che il tuo KDC rilascia dopo il login utente riuscito. Gli utenti presentano i TGT per richiedere ticket di servizio per risorse specifiche. I TGT normali scadono dopo periodi di validità limitati, mentre i Golden Ticket contraffatti possono avere date di scadenza arbitrarie.
• Privilege Attribute Certificate (PAC): Il PAC contiene dati di autorizzazione incorporati nei ticket Kerberos, specificando appartenenze a gruppi utente, privilegi e diritti di accesso. Gli avversari falsificano i dati PAC per concedersi privilegi di Domain Admin indipendentemente dai permessi reali dell'account.
• Key Distribution Center (KDC): Il tuo KDC gira sui controller di dominio e gestisce tutte le richieste di autenticazione Kerberos, validando i ticket tramite la verifica delle firme crittografiche usando l'hash dell'account KRBTGT.

Questi quattro componenti interagiscono in una sequenza specifica durante un attacco Golden Ticket.

Tecniche utilizzate per forgiare un Golden Ticket

Gli avversari utilizzano strumenti specializzati e metodologie consolidate per estrarre gli hash KRBTGT e forgiare i TGT. Comprendere queste tecniche aiuta a identificare i tentativi di furto di credenziali prima che gli attaccanti completino il processo di contraffazione.

Metodi di estrazione dell'hash KRBTGT

Gli avversari estraggono l'hash della password KRBTGT tramite due vettori principali. Il primo prende di mira il file di database NTDS.dit sui controller di dominio, che memorizza tutte le credenziali Active Directory. Strumenti come ntdsutil, secretsdump o volume shadow copy consentono l'estrazione offline. Il secondo vettore prende di mira la memoria del processo LSASS sui controller di dominio, dove il materiale delle credenziali esiste in formato testo chiaro o facilmente reversibile.

Strumenti di attacco comuni

MITRE ATT&CK documenta diversi strumenti utilizzati dagli avversari per attacchi Golden Ticket:

• Mimikatz: Lo strumento più documentato, in grado sia di estrarre KRBTGT che di forgiare ticket tramite il modulo kerberos::golden
• Rubeus: Implementazione in C# che offre capacità simili con migliore evasione dei controlli di sicurezza
• Impacket: Toolkit basato su Python che include ticketer.py per la generazione di TGT
• Sliver: Framework di command-and-control con manipolazione integrata dei ticket Kerberos

Processo di contraffazione offline

Dopo aver estratto l'hash KRBTGT, gli avversari costruiscono ticket contraffatti su sistemi esterni alla tua rete. Specificano il SID del dominio, il nome utente target, le appartenenze ai gruppi (tipicamente Domain Admins) e periodi di validità arbitrari. Il processo di contraffazione non richiede comunicazione con i controller di dominio, rendendolo invisibile al monitoraggio di rete fino a quando l'avversario inietta il ticket e inizia l'autenticazione.

Riconoscere queste tecniche modella la tua strategia di monitoraggio per gli indicatori che segnalano attacchi attivi.

Indicatori di un attacco Golden Ticket

Gli attacchi Golden Ticket generano pattern identificabili nei log di autenticazione, traffico di rete e telemetria degli endpoint. Il tuo team di sicurezza può trovare questi indicatori monitorando anomalie che si discostano dal comportamento normale di Kerberos.

Anomalie nei log di autenticazione

I log degli eventi di sicurezza di Windows catturano l'attività Kerberos che rivela l'uso di Golden Ticket. Gli ID evento 4768, 4769 e 4770 registrano richieste TGT, richieste di ticket di servizio e rinnovi di ticket. Cerca ticket con periodi di validità insolitamente lunghi, eventi di autenticazione da indirizzi IP inattesi e richieste di servizio incoerenti con il ruolo o i pattern di accesso normali dell'utente.

Segnali di downgrade della cifratura

I ticket contraffatti utilizzano frequentemente la cifratura RC4 perché gli strumenti di attacco più vecchi predefiniscono questo algoritmo. In ambienti che hanno disabilitato RC4 a favore della cifratura AES, qualsiasi ticket Kerberos cifrato con RC4 rappresenta un indicatore ad alta affidabilità. Configura il tuo SIEM per generare alert sull'uso di RC4 quando la policy di dominio impone l'autenticazione solo AES.

Precursori di accesso alle credenziali

Il dispiegamento di Golden Ticket richiede un precedente furto di credenziali. Monitora le fasi di attacco prerequisito: accesso insolito al processo LSASS, operazioni sul file NTDS.dit, creazione di volume shadow copy sui controller di dominio ed esecuzione di strumenti noti di estrazione credenziali. Individuare tentativi di accesso alle credenziali fornisce un avviso più precoce rispetto al solo monitoraggio della contraffazione dei ticket.

Deviazioni dal baseline comportamentale

Gli utenti si autenticano a insiemi prevedibili di risorse in base alle loro funzioni lavorative. L'uso di Golden Ticket spesso crea pattern di autenticazione che si discostano dai baseline stabiliti. Un account utente che improvvisamente richiede ticket di servizio per sistemi fuori dal suo ambito normale, si autentica da segmenti di rete sconosciuti o accede a risorse sensibili in orari insoliti richiede indagine immediata.

Questi indicatori informano su come i difensori strutturano le capacità di monitoraggio e risposta.

Come funziona un attacco Golden Ticket

Gli attacchi Golden Ticket sono tecniche post-exploitation che richiedono agli avversari di ottenere prima l'accesso amministrativo ai controller di dominio ed estrarre l'hash della password dell'account KRBTGT prima di forgiare i TGT.

• Fasi 1-2: Compromissione iniziale ed estrazione KRBTGT: Gli avversari ottengono accesso iniziale tramite phishing, sfruttamento di vulnerabilità o furto di credenziali. CISA Advisory AA23-250a documenta attori APT che sfruttano CVE-2022-47966 in Zoho ManageEngine, eseguendo dump della memoria LSASS per raccogliere credenziali su interi domini  Active Directory. Gli avversari utilizzano strumenti come Mimikatz, Rubeus o Sliver per estrarre l'hash della password KRBTGT ed esfiltrarlo su un sistema esterno.
• Fase 3: Contraffazione dei ticket: Gli avversari costruiscono TGT contraffatti offline utilizzando l'hash KRBTGT rubato, il SID del dominio e le informazioni sull'utente target. Specificano privilegi arbitrari nella struttura dati PAC, tipicamente l'appartenenza al gruppo Domain Admins, impostano periodi di validità estesi e cifrano il ticket contraffatto usando l'hash KRBTGT rubato.
• Fasi 4-5: Lateral Movement e accesso persistente: Gli avversari iniettano TGT contraffatti in memoria su sistemi compromessi e richiedono ticket di servizio in tutto il dominio. Il tuo KDC valida la firma crittografica del TGT contraffatto e rilascia ticket di servizio. Gli avversari si autenticano a file server, sistemi database, infrastruttura email e sistemi di backup utilizzando credenziali contraffatte. Il doppio reset della password KRBTGT è essenziale perché i controller di dominio mantengono sia l'hash della password corrente che quello precedente per compatibilità retroattiva.

Riconoscere queste fasi di attacco modella la tua strategia di monitoraggio e risposta.

Come rilevare un attacco Golden Ticket

Individuare attacchi Golden Ticket richiede il monitoraggio dei pattern di autenticazione Kerberos e la correlazione delle anomalie in tutta l'infrastruttura di sicurezza. Gli strumenti basati su firma non possono identificare ticket contraffatti perché sono crittograficamente validi. La tua strategia di rilevamento deve concentrarsi su analisi comportamentali e anomalie di autenticazione.

Configura il monitoraggio SIEM per eventi Kerberos

I log degli eventi di sicurezza di Windows forniscono la fonte primaria di dati per il rilevamento dei Golden Ticket. Configura il tuo SIEM per raccogliere e analizzare  gli ID evento 4768, 4769, 4770 e 4771, che registrano richieste TGT, richieste di ticket di servizio, rinnovi di ticket e fallimenti di autenticazione. Crea regole di correlazione che segnalino ticket con periodi di validità superiori alla policy di dominio, richieste di autenticazione da indirizzi IP fuori dai pattern normali degli utenti e richieste di ticket di servizio incoerenti con i baseline comportamentali degli utenti.

Monitora i downgrade della cifratura

Molti strumenti di attacco Golden Ticket predefiniscono la cifratura RC4 durante la contraffazione dei ticket. Se il tuo ambiente impone solo autenticazione Kerberos AES, qualsiasi ticket cifrato RC4 rappresenta un indicatore ad alta affidabilità di contraffazione. Configura alert per il tipo di cifratura RC4 negli eventi di autenticazione Kerberos e indaga immediatamente su tutte le occorrenze.

Traccia i tentativi di accesso alle credenziali

Gli attacchi Golden Ticket richiedono l'estrazione preventiva dell'hash KRBTGT. Monitora i controller di dominio per la fase di furto di credenziali prerequisita:

• Accesso insolito alla memoria del processo LSASS
• Operazioni o tentativi di estrazione del file di database NTDS.dit
• Creazione di volume shadow copy che prende di mira lo stato del sistema
• Esecuzione di strumenti noti di estrazione credenziali come Mimikatz o secretsdump

Individuare tentativi di furto di credenziali fornisce un avviso più precoce rispetto all'attesa dell'uso di ticket contraffatti.

Implementa analisi comportamentali

Stabilisci baseline di autenticazione per ogni account utente in base ai pattern normali di accesso alle risorse, orari di lavoro e posizioni di rete. Le piattaforme di analisi comportamentale identificano deviazioni da questi baseline, come un utente che improvvisamente si autentica a sistemi sensibili fuori dalla sua funzione lavorativa o accede a risorse da segmenti di rete sconosciuti. Queste anomalie spesso indicano l'uso di Golden Ticket anche quando i singoli eventi di autenticazione appaiono legittimi.

Correla telemetria endpoint e identità

Un rilevamento efficace richiede la correlazione dei dati tra endpoint, identità e fonti di rete. Collega eventi di accesso alla memoria LSASS sui controller di dominio con successive anomalie di autenticazione Kerberos per identificare la sequenza furto di credenziali-contraffazione dei ticket. Le piattaforme di identity security possono automatizzare questa correlazione e generare alert sull'avanzamento della catena di attacco.

Le capacità di rilevamento informano le strategie di prevenzione e risposta.

Come prevenire e mitigare gli attacchi Golden Ticket

Prevenire gli attacchi Golden Ticket richiede la protezione dell'account KRBTGT, il rafforzamento dell'accesso ai controller di dominio e l'implementazione di controlli che limitino i movimenti degli avversari anche dopo la compromissione delle credenziali.

Implementa la rotazione regolare della password KRBTGT

Stabilisci un protocollo programmato di reset della password KRBTGT. Poiché Active Directory mantiene sia l'hash della password corrente che quello precedente per compatibilità retroattiva, devi reimpostare la password KRBTGT due volte per invalidare completamente eventuali Golden Ticket esistenti. Pianifica questi reset a intervalli adeguati al tuo livello di rischio, con molte organizzazioni che effettuano rotazioni trimestrali.

Rafforza l'accesso ai controller di dominio

Limita l'accesso amministrativo ai controller di dominio tramite workstation di accesso privilegiato e jump server con monitoraggio delle sessioni. Implementa la segmentazione di rete che limita quali sistemi possono comunicare direttamente con i controller di dominio. Distribuisci soluzioni di endpoint detection and response sui controller di dominio per monitorare strumenti di estrazione credenziali e attività di processo sospette che prendono di mira LSASS o NTDS.dit.

Imponi l'igiene delle credenziali

Separa gli account privilegiati da quelli non privilegiati per gli amministratori. Le credenziali di Domain Admin non dovrebbero mai essere utilizzate su workstation standard dove il furto di credenziali è più probabile. Implementa accessi amministrativi a tempo limitato che scadono automaticamente, riducendo la finestra per l'estrazione delle credenziali.

Disabilita i protocolli di autenticazione legacy

Disabilita la cifratura RC4 per l'autenticazione Kerberos e imponi la cifratura AES in tutto il dominio. Questo crea un segnale di rilevamento ad alta affidabilità quando gli attaccanti utilizzano strumenti più vecchi che predefiniscono RC4 per la contraffazione dei ticket. Rivedi e disabilita altri protocolli legacy come NTLM dove possibile per ridurre la superficie di attacco complessiva per il furto di credenziali.

Distribuisci tecnologie di deception

Le difese basate su deception creano cache di credenziali false e account honey che attirano gli avversari durante la fase di ricognizione. Quando gli attaccanti interagiscono con questi esche, ricevi alert immediati su tentativi di compromissione attiva. Questo approccio identifica l'attività di furto di credenziali prima che gli avversari raggiungano l'hash KRBTGT.

Prepara playbook di incident response

Documenta e testa le procedure di incident response per i Golden Ticket. Il tuo playbook dovrebbe includere il protocollo di doppio reset KRBTGT, i passaggi per revocare tutti i ticket Kerberos esistenti, le procedure per il reset delle credenziali degli account privilegiati e le linee guida di analisi forense per identificare i vettori di compromissione iniziale. L'esecuzione rapida di queste procedure limita la persistenza degli avversari.

Questi controlli preventivi lavorano insieme alle capacità di rilevamento per ridurre il rischio Golden Ticket nel tuo ambiente.

Perché è importante comprendere la meccanica dei Golden Ticket

I team di sicurezza che comprendono la meccanica degli attacchi Golden Ticket possono spostare la strategia di monitoraggio dal rilevamento basato su firma all'analisi comportamentale. Gli strumenti basati su firma falliscono perché i ticket contraffatti sono crittograficamente validi. L'analisi comportamentale identifica pattern anomali di autenticazione Kerberos come richieste TGT insolite, operazioni di ticket di servizio da indirizzi IP inattesi e ticket con periodi di validità anomali.

Questa comprensione migliora anche la prontezza all'incident response. I tuoi playbook dovrebbero includere il protocollo di doppio reset della password KRBTGT, procedure di analisi forense per dump della memoria LSASS ed estrazione NTDS.dit, e strategie di contenimento per scenari di accesso a livello di dominio.

I prerequisiti dell'attacco creano anche finestre di rilevamento per il tuo team di sicurezza.

Limitazioni dell'attacco Golden Ticket

Gli avversari devono ottenere l'hash della password dell'account KRBTGT prima di eseguire un attacco Golden Ticket, il che crea opportunità di rilevamento per i difensori.

• Requisito di accesso al controller di dominio: Gli avversari devono prima compromettere i controller di dominio o sistemi privilegiati equivalenti per estrarre gli hash KRBTGT. Questo crea una finestra di rilevamento durante la fase di accesso alle credenziali. Monitora tentativi insoliti di accesso ai controller di dominio, manipolazione del processo LSASS e pattern di accesso al database NTDS.dit.
• Indicatori di anomalie crittografiche: I ticket contraffatti spesso presentano caratteristiche identificabili. L'uso di cifratura RC4 in ambienti che l'hanno disabilitata rappresenta un segnale ad alta affidabilità. Puoi anche trovare ticket con periodi di validità eccessivamente lunghi, strutture dati PAC mancanti ed eventi di autenticazione da indirizzi IP inattesi.
• Classificazione post-compromissione: I Golden Ticket funzionano come tecniche post-exploitation all'interno di catene di attacco multi-fase. Gli avversari non ottengono valore dalla contraffazione dei ticket senza aver prima stabilito l'accesso alla rete, condotto ricognizione, raggiunto l'escalation dei privilegi ed estratto l'hash KRBTGT. La tua strategia di difesa in profondità dovrebbe concentrarsi sulla prevenzione della sequenza di compromissione iniziale piuttosto che esclusivamente sul monitoraggio dell'uso dei Golden Ticket dopo il dispiegamento.

Nonostante questi vincoli, i team di sicurezza commettono frequentemente errori che indeboliscono le difese.

Errori comuni nella difesa contro gli attacchi Golden Ticket

I team di sicurezza commettono quattro errori comuni nella difesa contro gli attacchi Golden Ticket.

1. Reset singolo della password KRBTGT: Reimposti la password KRBTGT una sola volta e presumi che i Golden Ticket esistenti siano invalidati. Active Directory mantiene sia l'hash della password corrente che quello precedente. I reset singoli lasciano valido l'hash precedente, quindi i ticket contraffatti degli avversari continuano a funzionare. Devi  reimpostare la password KRBTGT due volte per invalidare completamente i ticket contraffatti.
2. Affidamento al rilevamento basato su firma: Distribuisci controlli di sicurezza basati su firma aspettandoti di trovare attacchi Golden Ticket tramite pattern matching. I tuoi strumenti di sicurezza non possono distinguere crittograficamente i ticket contraffatti da quelli legittimi quando sono cifrati con chiavi KRBTGT valide. Hai bisogno di analisi comportamentali che monitorino pattern Kerberos anomali.
3. Ritenzione insufficiente dei log degli eventi: Mantieni una ritenzione insufficiente dei log degli eventi di sicurezza di Windows e perdi la timeline estesa di indagine richiesta per la forensica dei Golden Ticket. Gli avversari possono attendere tra l'estrazione dell'hash KRBTGT e lo sfruttamento attivo. I team di sicurezza necessitano di una ritenzione estesa dei log per correlare la compromissione iniziale con l'uso successivo dei ticket.
4. Ignorare le fasi di attacco prerequisito: Ti concentri esclusivamente sull'identificazione dell'uso dei Golden Ticket ignorando la fase di furto di credenziali che deve avvenire prima. CISA Advisory AA23-250a documenta attori APT che eseguono dump della memoria LSASS prima di ottenere accesso amministrativo. Individua la fase di estrazione delle credenziali monitorando interazioni insolite con il processo LSASS ed esecuzione di strumenti noti di estrazione credenziali.

Evitare questi errori richiede l'implementazione di controlli di sicurezza basati su evidenze.

Best practice per la protezione contro gli attacchi Golden Ticket

Difendersi dagli attacchi Golden Ticket richiede l'implementazione di controlli di sicurezza centrati sulla gestione dell'account KRBTGT, il monitoraggio dell'autenticazione Kerberos e una rapida incident response.

• Reimposta la password dell'account KRBTGT due volte: Stabilisci programmi regolari di reset della password KRBTGT seguendo il protocollo di doppio reset. Active Directory mantiene sia l'hash della password KRBTGT corrente che quello precedente per  compatibilità retroattiva, quindi un solo reset lascia validi i Golden Ticket esistenti. Solo il secondo reset invalida completamente tutti i ticket contraffatti.
• Configura il SIEM per il monitoraggio Kerberos: Configura i sistemi di Security Information and Event Management (SIEM) per trovare gli ID evento di Windows 4768, 4769, 4770 e 4771 per pattern anomali. Il tuo monitoraggio dovrebbe segnalare:

1. Uso di cifratura RC4 in ambienti solo AES
2. Ticket con periodi di validità anomali
3. Eventi di autenticazione da indirizzi IP inattesi
4. Richieste di servizio incoerenti con i baseline dei ruoli utente

Correla accessi anomali ai file con richieste insolite di ticket di servizio Kerberos. Le piattaforme di identity security come  Singularity Identity rilevano in tempo reale furti di credenziali e tentativi di escalation dei privilegi, generando alert quando gli avversari prendono di mira l'infrastruttura Active Directory.

• Proteggi l'accesso ai controller di dominio: Implementa controlli di privileged access management che limitano l'accesso amministrativo ai controller di dominio a jump box dedicati con monitoraggio delle sessioni. Distribuisci soluzioni di endpoint detection and response (EDR) sui controller di dominio per monitorare strumenti di dumping delle credenziali.
• Distribuisci analisi comportamentali: Distribuisci analisi che identificano tentativi di forgia o replay di ticket Kerberos monitorando sequenze di autenticazione anomale. Singularity XDR automatizza questa correlazione, collegando anomalie di autenticazione con eventi endpoint per ricostruire le catene di attacco Golden Ticket.
• Mantieni una ritenzione estesa dei log: Estendi la ritenzione dei log degli eventi di sicurezza di Windows per consentire indagini forensi su catene di attacco complete. Centralizza i log di autenticazione Kerberos nella tua piattaforma SIEM con regole di correlazione per anomalie di autenticazione.

L'implementazione manuale di questi controlli richiede risorse significative. Le piattaforme di sicurezza possono automatizzare gran parte di questo lavoro.

Blocca gli attacchi Golden Ticket con SentinelOne

La Singularity™ Platform di SentinelOne fornisce l'analisi comportamentale e la correlazione autonoma necessarie per identificare attacchi Golden Ticket in tutto il tuo ambiente.

Singularity™ XDR ha dimostrato di generare  l'88% di alert in meno rispetto alla mediana di tutti i vendor nelle MITRE ATT&CK Evaluations 2024, raggiungendo il 100% di accuratezza nel rilevamento. Questo consente al tuo team di sicurezza di concentrarsi sulle minacce reali invece che su falsi positivi. La tecnologia Storyline della piattaforma ricostruisce le catene di attacco con risposta a velocità macchina, collegando eventi di accesso alla memoria LSASS con successive anomalie di autenticazione Kerberos per identificare la sequenza furto di credenziali-contraffazione dei ticket.

Singularity™ Identity difende ambienti ibridi: sia Active Directory che provider di identità cloud - inclusi Entra ID, Okta, Ping, SecureAuth e Duo. La piattaforma rileva tentativi di furto di credenziali, blocca il lateral movement e utilizza tecnologie di deception per sviare gli attaccanti dall'infrastruttura AD generando telemetria per l'investigazione.

Purple AI accelera la threat hunting con query in linguaggio naturale e analisi basata su AI. Durante l'investigazione di potenziali attività Golden Ticket, Purple AI correla indicatori di autenticazione su più eventi, riducendo i falsi positivi e accelerando le indagini.

SentinelOne Wayfinder Managed Detection and Response è un servizio gestito 24/7/365 con analisti esperti interni che aggiungono contesto umano ai rilevamenti automatici. I loro analisti possono eseguire analisi forensi approfondite e gestire incident response efficace. MDR Elite ti offre readiness integrata agli incident e ti prepara per i momenti di massima pressione. Hai accesso a IRR retainers ed esperti DFIR on-demand.

SentinelOne Singularity™ Network Discovery può effettuare la discovery di rete e identificare dispositivi rogue sulle reti. Identifica, isola e contiene le minacce dopo la discovery e previene il lateral movement. Network Discovery può scoprire dispositivi non gestiti e isolarli con un clic. Monitora anche come i dispositivi sconosciuti comunicano con gli host gestiti. Puoi creare policy e alternarle, anche per singole subnet.

SentinelOne Cloud Workload Security protegge istanze cloud (AWS, Azure, Google Cloud) e container Kubernetes - fondamentale per difendersi da attacchi Golden Ticket che possono estendersi agli ambienti cloud tramite infrastrutture ibride collegate al dominio.

I motori AI comportamentali di SentinelOne (statici e runtime) possono bloccare il furto di credenziali e rilevare pattern di autenticazione anomali prima che avvenga qualsiasi contraffazione di ticket, fermando così gli attacchi nelle prime fasi della kill chain.

Richiedi una demo di SentinelOne per vedere come queste funzionalità bloccano gli attacchi Golden Ticket nel tuo ambiente.