Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat is een Golden Ticket-aanval?
Cybersecurity 101/Cyberbeveiliging/Golden Ticket-aanval

Wat is een Golden Ticket-aanval?

Golden Ticket-aanvallen vervalsen Kerberos-tickets met gestolen KRBTGT-hashes voor aanhoudende domeintoegang. Leer detectiestrategieën en de aanpak van SentinelOne.

CS-101_Cybersecurity.svg
Inhoud
Wat is een Golden Ticket-aanval?
Hoe Golden Ticket zich verhoudt tot cybersecurity
Impact van een Golden Ticket-aanval op een organisatie
Domeinbrede toegang tot bronnen
Persistente, langdurige toegang
Data-exfiltratie en wettelijke blootstelling
Operationele en herstelkosten
Kerncomponenten van een Golden Ticket-aanval
Technieken voor het vervalsen van een Golden Ticket
Methoden voor KRBTGT-hashextractie
Veelgebruikte aanvalstools
Offline vervalsingsproces
Indicatoren van een Golden Ticket-aanval
Authenticatielog-anomalieën
Signalen van encryptiedowngrade
Voorafgaande credential access
Afwijkingen van gedragsbaselines
Hoe werkt een Golden Ticket-aanval?
Hoe een Golden Ticket-aanval detecteren
Configureer SIEM-monitoring voor Kerberos-events
Monitor op encryptiedowngrades
Volg pogingen tot credential access
Implementeer gedragsanalyse
Correlatie van endpoint- en identiteitstelemetrie
Hoe Golden Ticket-aanvallen voorkomen en mitigeren
Implementeer regelmatige KRBTGT-wachtwoordrotatie
Harden toegang tot domeincontrollers
Handhaaf credential hygiene
Schakel legacy-authenticatieprotocollen uit
Implementeer deception-technologie
Bereid incident response-playbooks voor
Waarom inzicht in Golden Ticket-mechanismen belangrijk is
Beperkingen van Golden Ticket-aanvallen
Veelgemaakte fouten bij verdediging tegen Golden Ticket-aanvallen
Best practices voor bescherming tegen Golden Ticket-aanvallen
Stop Golden Ticket-aanvallen met SentinelOne

Gerelateerde Artikelen

  • Digital Rights Management: Een Praktische Gids voor CISO's
  • Wat is Remote Monitoring and Management (RMM) Security?
  • Address Resolution Protocol: Functie, Typen & Beveiliging
  • Wat is typosquatting? Methoden van domeinaanvallen & preventie
Auteur: SentinelOne | Recensent: Arijeet Ghatak
Bijgewerkt: January 23, 2026

Wat is een Golden Ticket-aanval?

U krijgt te maken met een aanvaller die de KRBTGT-wachtwoordhash van uw domein exfiltreert. Kort daarna vervalsen ze een Kerberos-ticket waarmee ze zichzelf Domeinbeheerderrechten toekennen voor de komende 10 jaar. Uw domeincontrollers vertrouwen dit vervalste ticket volledig: ze kunnen het niet onderscheiden van legitieme authenticatie.

Dit is een Golden Ticket-aanval. Tegenstanders vervalsen Ticket-Granting Tickets (TGT's) met gestolen KRBTGT-accountwachtwoordhashes, waardoor cryptografisch geldige inloggegevens ontstaan die standaardbeveiligingsmaatregelen omzeilen. Als een ticket is versleuteld met de langetermijnsleutel van het KRBTGT-account, gaat de ticketuitgifteservice van uw KDC ervan uit dat dit een authentiek verzoek is van een authentieke gebruiker. Uw domeincontrollers kunnen vervalste tickets niet onderscheiden van legitieme omdat de cryptografische handtekeningen wiskundig identiek lijken.

CISA blijft diefstal van inloggegevens en op Kerberos gebaseerde aanvallen documenteren in statelijke campagnes en ransomware-operaties die zich richten op kritieke infrastructuur, waardoor deze techniek een van de meest hardnekkige post-exploitatieaanvallen is waarmee ondernemingen worden geconfronteerd.

Er zijn drie vereisten voordat tegenstanders Golden Ticket-aanvallen kunnen uitvoeren: beheerdersrechten op uw domeincontroller of een gelijkwaardig bevoorrecht systeem, extractie van de KRBTGT-accounthash uit uw NTDS.dit-database of LSASS-procesgeheugen, en verzameling van uw domein-FQDN, domein-SID en doelgebruikersinformatie. Zodra tegenstanders aan deze voorwaarden voldoen, vervalsen ze tickets volledig buiten uw netwerk; er is geen communicatie met de domeincontroller vereist.

Golden Ticket Attack - Featured Image | SentinelOne

Hoe Golden Ticket zich verhoudt tot cybersecurity

Golden Ticket-aanvallen zijn identiteitsgerichte aanvallen die beveiligingsmaatregelen omzeilen die zich richten op netwerkperimeterverdediging en endpointbeveiliging. U verdedigt zich tegen tegenstanders die voorbij de initiële compromittering zijn gegaan naar de fase Credential Access in geavanceerde aanvalsketens.

Uw standaardbeveiligingsmaatregelen falen omdat vervalste tickets cryptografisch identiek lijken aan legitieme authenticatiegebeurtenissen. Op handtekeningen gebaseerde detectie kan Golden Tickets niet identificeren. Multi-factor authenticatie biedt geen bescherming. Wachtwoordbeleid wordt irrelevant. Organisaties moeten het KRBTGT-wachtwoord tweemaal resetten om bestaande Golden Tickets ongeldig te maken.

MITRE ATT&CK classificeert de techniek formeel onder drie tactieken tegelijk: 

  • Credential Access (T1558.001),
  • Lateral Movement (toegang tot domeinbrede bronnen),
  • Persistence (tickets blijven jarenlang geldig). 

CISA-adviezen bevestigen dat door Rusland gesteunde APT-actoren zich richten op Windows Active Directory-servers voor privilege-escalatie, en ransomware-operaties zoals Akira richten zich actief op Kerberos-authenticatie-infrastructuur met behulp van credential extraction-tools.

Om u te verdedigen tegen Golden Ticket-aanvallen, moet u eerst de Kerberos-componenten begrijpen die tegenstanders misbruiken.

Impact van een Golden Ticket-aanval op een organisatie

Een geslaagde Golden Ticket-aanval geeft tegenstanders onbeperkte toegang tot elke bron in uw Active Directory-omgeving. Ze kunnen zich authenticeren als elke gebruiker, elk systeem benaderen en deze toegang maanden- of jarenlang behouden zonder standaardbeveiligingswaarschuwingen te activeren.

Domeinbrede toegang tot bronnen

Tegenstanders met vervalste TGT's bewegen zich vrij door uw omgeving. Ze krijgen toegang tot fileservers met gevoelige intellectuele eigendom, authenticeren bij e-mailsystemen voor zakelijke communicatie, raadplegen databases met klantgegevens en verbinden met back-upinfrastructuur. Uw beveiligingsmaatregelen zien legitieme Kerberos-authenticatie, geen ongeautoriseerde toegang.

Persistente, langdurige toegang

Golden Tickets functioneren als achterdeuren die normale incident response-acties overleven. Wachtwoordresets voor gecompromitteerde accounts hebben geen effect. Het uitschakelen van gebruikersaccounts trekt de toegang niet in. De vervalste tickets blijven geldig totdat u het dubbele KRBTGT-wachtwoordresetprotocol op alle domeincontrollers voltooit, een proces dat veel organisaties uitstellen vanwege operationele zorgen over serviceonderbreking.

Data-exfiltratie en wettelijke blootstelling

Onbeperkte domeintoegang maakt grootschalige datadiefstal mogelijk. Tegenstanders kunnen systematisch klantdatabases, financiële gegevens, personeelsinformatie en bedrijfsgevoelige data exfiltreren. Voor organisaties die onder de AVG, HIPAA of PCI-DSS vallen, leidt een Golden Ticket-compromittering doorgaans tot verplichte meldingen van datalekken en mogelijke boetes van toezichthouders.

Operationele en herstelkosten

Herstel van Golden Ticket-aanvallen vereist aanzienlijke middelen. U moet het KRBTGT-wachtwoord tweemaal resetten op alle domeincontrollers, alle bestaande Kerberos-tickets intrekken, bevoorrechte accountgegevens resetten, forensisch onderzoek uitvoeren naar de initiële compromittering en mogelijk gecompromitteerde domeincontrollers herstellen vanaf schone back-ups. Organisaties ontdekken het gebruik van Golden Tickets vaak pas weken of maanden na de initiële inzet, waardoor het forensisch onderzoek wordt uitgebreid.

Deze gevolgen maken Golden Ticket-aanvallen tot een van de ernstigste Active Directory-compromitteringen. Verdediging vereist inzicht in de kerncomponenten van de aanval.

Kerncomponenten van een Golden Ticket-aanval

Golden Ticket-aanvallen misbruiken vier Kerberos-componenten: het KRBTGT-serviceaccount, TGT's, PAC-structuren en de KDC.

  • KRBTGT-account: Het KRBTGT-account is het Kerberos-serviceaccount van uw domein. Elke domeincontroller gebruikt de wachtwoordhash om alle TGT's te versleutelen en te ondertekenen. Wanneer tegenstanders deze hash extraheren, beschikken ze over de cryptografische sleutel die elk authenticatieticket in uw domein valideert.
  • Ticket-Granting Ticket (TGT): TGT's functioneren als authenticatiegegevens die uw KDC uitgeeft na een succesvolle gebruikersaanmelding. Gebruikers bieden TGT's aan om servicetickets voor specifieke bronnen aan te vragen. Normale TGT's verlopen na beperkte geldigheidsduur, terwijl vervalste Golden Tickets willekeurige vervaldatums kunnen hebben.
  • Privilege Attribute Certificate (PAC): De PAC bevat autorisatiegegevens die in Kerberos-tickets zijn ingebed, met daarin groepslidmaatschappen, privileges en toegangsrechten van de gebruiker. Tegenstanders vervalsen PAC-gegevens om zichzelf Domeinbeheerderrechten toe te kennen, ongeacht hun werkelijke accountrechten.
  • Key Distribution Center (KDC): Uw KDC draait op domeincontrollers en verwerkt alle Kerberos-authenticatieverzoeken, waarbij tickets worden gevalideerd door cryptografische handtekeningen te controleren met de KRBTGT-accounthash.

Deze vier componenten werken in een specifieke volgorde samen tijdens een Golden Ticket-aanval.

Technieken voor het vervalsen van een Golden Ticket

Tegenstanders gebruiken gespecialiseerde tools en gevestigde methoden om KRBTGT-hashes te extraheren en TGT's te vervalsen. Inzicht in deze technieken helpt u pogingen tot diefstal van inloggegevens te identificeren voordat aanvallers het vervalsingsproces voltooien.

Methoden voor KRBTGT-hashextractie

Tegenstanders extraheren de KRBTGT-wachtwoordhash via twee primaire vectoren. De eerste richt zich op het NTDS.dit-databasebestand op domeincontrollers, waarin alle Active Directory-inloggegevens zijn opgeslagen. Tools zoals ntdsutil, secretsdump of volume shadow copy maken offline extractie mogelijk. De tweede vector richt zich op het LSASS-procesgeheugen op domeincontrollers, waar inloggegevens in platte tekst of eenvoudig omkeerbare formaten aanwezig zijn.

Veelgebruikte aanvalstools

MITRE ATT&CK documenteert verschillende tools die tegenstanders gebruiken voor Golden Ticket-aanvallen:

  • Mimikatz: De meest gedocumenteerde tool, in staat tot zowel KRBTGT-extractie als ticketvervalsing via de kerberos::golden-module
  • Rubeus: Een C#-implementatie met vergelijkbare mogelijkheden en betere ontwijking van beveiligingsmaatregelen
  • Impacket: Python-toolkit met onder andere ticketer.py voor TGT-generatie
  • Sliver: Command-and-control-framework met ingebouwde Kerberos-ticketmanipulatie

Offline vervalsingsproces

Na extractie van de KRBTGT-hash construeren tegenstanders vervalste tickets op systemen buiten uw netwerk. Ze specificeren de domein-SID, doelgebruikersnaam, groepslidmaatschappen (meestal Domain Admins) en willekeurige geldigheidsperioden. Het vervalsingsproces vereist geen communicatie met uw domeincontrollers, waardoor het onzichtbaar is voor netwerkmonitoring totdat de aanvaller het ticket injecteert en authenticatie start.

Inzicht in deze technieken bepaalt uw monitoringstrategie voor indicatoren die actieve aanvallen signaleren.

Indicatoren van een Golden Ticket-aanval

Golden Ticket-aanvallen genereren herkenbare patronen in authenticatielogs, netwerkverkeer en endpoint-telemetrie. Uw beveiligingsteam kan deze indicatoren vinden door te monitoren op afwijkingen van normaal Kerberos-gedrag.

Authenticatielog-anomalieën

Windows Security Event-logs leggen Kerberos-activiteiten vast die Golden Ticket-gebruik onthullen. Event-ID's 4768, 4769 en 4770 registreren TGT-verzoeken, serviceticketverzoeken en ticketvernieuwingen. Let op tickets met ongewoon lange geldigheidsperioden, authenticatiegebeurtenissen vanaf onverwachte IP-adressen en servicerequests die niet overeenkomen met het normale gebruikerspatroon.

Signalen van encryptiedowngrade

Vervalste tickets gebruiken vaak RC4-encryptie omdat oudere aanvalstools standaard deze algoritme gebruiken. In omgevingen waar RC4 is uitgeschakeld ten gunste van AES-encryptie, is elk RC4-versleuteld Kerberos-ticket een sterke indicator. Stel uw SIEM zo in dat u wordt gewaarschuwd bij RC4-gebruik wanneer uw domeinbeleid alleen AES-authenticatie toestaat.

Voorafgaande credential access

Golden Ticket-inzet vereist voorafgaande diefstal van inloggegevens. Monitor de vereiste aanvalsfases: ongebruikelijke toegang tot het LSASS-proces, NTDS.dit-bestandsbewerkingen, volume shadow copy-creatie op domeincontrollers en uitvoering van bekende tools voor credential extractie. Het detecteren van pogingen tot credential access biedt eerder waarschuwing dan alleen monitoring op ticketvervalsing.

Afwijkingen van gedragsbaselines

Gebruikers authenticeren zich op voorspelbare bronnen op basis van hun functie. Golden Ticket-gebruik veroorzaakt vaak authenticatiepatronen die afwijken van de gevestigde baselines. Een gebruikersaccount dat plotseling servicetickets aanvraagt voor systemen buiten het normale bereik, authenticatie vanaf onbekende netwerksegmenten of toegang tot gevoelige bronnen op ongebruikelijke tijden, vereist direct onderzoek.

Deze indicatoren bepalen hoe verdedigers hun monitoring- en responsmogelijkheden structureren.

Hoe werkt een Golden Ticket-aanval?

Golden Ticket-aanvallen zijn post-exploitatie-technieken waarbij tegenstanders eerst beheerdersrechten op domeincontrollers moeten verkrijgen en de KRBTGT-accounthash moeten extraheren voordat ze TGT's kunnen vervalsen.

  • Fase 1-2: Initiële compromittering en KRBTGT-extractie: Tegenstanders verkrijgen initiële toegang via phishing, kwetsbaarheden of credential theft. CISA Advisory AA23-250a documenteert APT-actoren die CVE-2022-47966 in Zoho ManageEngine misbruiken en LSASS-geheugendumps uitvoeren om inloggegevens te verzamelen in volledige Active Directory-domeinen. Tegenstanders zetten tools als Mimikatz, Rubeus of Sliver in om de KRBTGT-wachtwoordhash te extraheren en deze naar een extern systeem te exfiltreren.
  • Fase 3: Ticketvervalsing: Tegenstanders construeren offline vervalste TGT's met de gestolen KRBTGT-hash, domein-SID en doelgebruikersinformatie. Ze specificeren willekeurige privileges in de PAC-datastructuur, meestal lidmaatschap van de Domain Admins-groep, stellen verlengde geldigheidsperioden in en versleutelen het vervalste ticket met de gestolen KRBTGT-hash.
  • Fase 4-5: Lateral Movement en persistente toegang: Tegenstanders injecteren vervalste TGT's in het geheugen op gecompromitteerde systemen en vragen servicetickets aan in uw domein. Uw KDC valideert de cryptografische handtekening van het vervalste TGT en geeft servicetickets uit. Tegenstanders authenticeren zich bij fileservers, databasesystemen, e-mailinfrastructuur en back-upsystemen met vervalste inloggegevens. Dubbele KRBTGT-wachtwoordresets zijn essentieel omdat domeincontrollers zowel de huidige als de vorige wachtwoordhash bewaren voor achterwaartse compatibiliteit.

Inzicht in deze aanvalsfases bepaalt uw monitoring- en responsstrategie.

Hoe een Golden Ticket-aanval detecteren

Het detecteren van Golden Ticket-aanvallen vereist monitoring van Kerberos-authenticatiepatronen en het correleren van afwijkingen in uw beveiligingsinfrastructuur. Op handtekeningen gebaseerde tools kunnen vervalste tickets niet identificeren omdat ze cryptografisch geldig zijn. Uw detectiestrategie moet zich richten op gedragsanalyse en authenticatie-anomalieën.

Configureer SIEM-monitoring voor Kerberos-events

Windows Security Event-logs vormen de primaire gegevensbron voor Golden Ticket-detectie. Configureer uw SIEM om Event-ID's 4768, 4769, 4770 en 4771 te verzamelen en te analyseren, die TGT-verzoeken, serviceticketverzoeken, ticketvernieuwingen en authenticatiefouten registreren. Maak correlatieregels die tickets met geldigheidsperioden langer dan uw domeinbeleid, authenticatieverzoeken vanaf IP-adressen buiten het normale gebruikerspatroon en serviceticketverzoeken die niet overeenkomen met gevestigde gebruikersbaselines signaleren.

Monitor op encryptiedowngrades

Veel Golden Ticket-aanvalstools gebruiken standaard RC4-encryptie bij het vervalsen van tickets. Als uw omgeving alleen AES-Kerberos-authenticatie toestaat, is elk RC4-versleuteld ticket een sterke indicator van vervalsing. Stel waarschuwingen in voor RC4-encryptietype in Kerberos-authenticatiegebeurtenissen en onderzoek alle gevallen direct.

Volg pogingen tot credential access

Golden Ticket-aanvallen vereisen voorafgaande extractie van de KRBTGT-hash. Monitor domeincontrollers op de vereiste fase van credential theft:

  • Ongebruikelijke toegang tot LSASS-procesgeheugen
  • NTDS.dit-databasebewerkingen of extractiepogingen
  • Volume shadow copy-creatie gericht op systeemstatus
  • Uitvoering van bekende tools voor credential extractie zoals Mimikatz of secretsdump

Het detecteren van pogingen tot credential theft biedt eerder waarschuwing dan wachten op het gebruik van vervalste tickets.

Implementeer gedragsanalyse

Stel authenticatiebaselines vast voor elk gebruikersaccount op basis van normaal brongebruik, werktijden en netwerklocaties. Gedragsanalyseplatforms identificeren afwijkingen van deze baselines, zoals een gebruiker die zich plotseling authenticeert op gevoelige systemen buiten zijn functie of toegang krijgt vanaf onbekende netwerksegmenten. Deze anomalieën wijzen vaak op Golden Ticket-gebruik, zelfs als individuele authenticatiegebeurtenissen legitiem lijken.

Correlatie van endpoint- en identiteitstelemetrie

Effectieve detectie vereist correlatie van gegevens uit endpoint-, identiteit- en netwerkbronnen. Koppel LSASS-geheugentoegang op domeincontrollers aan daaropvolgende Kerberos-authenticatie-anomalieën om de keten van credential theft tot ticketvervalsing te identificeren. Identity security-platforms kunnen deze correlatie automatiseren en waarschuwen bij voortgang van de aanvalsketen.

Detectiemogelijkheden bepalen uw preventie- en responsstrategieën.

Hoe Golden Ticket-aanvallen voorkomen en mitigeren

Het voorkomen van Golden Ticket-aanvallen vereist bescherming van het KRBTGT-account, het hardenen van domeincontroller-toegang en het implementeren van maatregelen die beweging van tegenstanders beperken, zelfs na compromittering van inloggegevens.

Implementeer regelmatige KRBTGT-wachtwoordrotatie

Stel een gepland protocol in voor het resetten van het KRBTGT-wachtwoord. Omdat Active Directory zowel de huidige als de vorige wachtwoordhashes bewaart voor achterwaartse compatibiliteit, moet u het KRBTGT-wachtwoord tweemaal resetten om bestaande Golden Tickets volledig ongeldig te maken. Plan deze resets op intervallen die passen bij uw risicotolerantie; veel organisaties voeren driemaandelijkse rotaties uit.

Harden toegang tot domeincontrollers

Beperk beheerdersrechten op domeincontrollers via privileged access workstations en jump servers met sessiemonitoring. Implementeer netwerksegmentatie die beperkt welke systemen direct met domeincontrollers kunnen communiceren. Zet endpoint detection and response-oplossingen in op domeincontrollers om credential extractie-tools en verdachte procesactiviteit gericht op LSASS of NTDS.dit te monitoren.

Handhaaf credential hygiene

Scheid bevoorrechte en niet-bevoorrechte accounts voor beheerders. Domeinbeheerder-inloggegevens mogen nooit worden gebruikt op standaardwerkplekken waar credential theft waarschijnlijker is. Implementeer tijdsgebonden beheerdersrechten die automatisch verlopen, waardoor het venster voor credential extractie wordt verkleind.

Schakel legacy-authenticatieprotocollen uit

Schakel RC4-encryptie uit voor Kerberos-authenticatie en handhaaf AES-encryptie in uw domein. Dit levert een betrouwbaar detectiesignaal op wanneer aanvallers oudere tools gebruiken die standaard RC4 gebruiken voor ticketvervalsing. Evalueer en schakel waar mogelijk andere legacy-protocollen zoals NTLM uit om het aanvalsoppervlak voor credential theft te verkleinen.

Implementeer deception-technologie

Op deception gebaseerde verdediging creëert valse credential caches en honeypot-accounts die tegenstanders aantrekken tijdens verkenning. Wanneer aanvallers met deze decoys interacteren, ontvangt u direct waarschuwingen over actieve compromitteringspogingen. Deze aanpak identificeert credential theft-activiteit voordat tegenstanders de KRBTGT-hash bereiken.

Bereid incident response-playbooks voor

Documenteer en oefen Golden Ticket-incident response-procedures. Uw playbook moet het tweemaal resetten van het KRBTGT-protocol bevatten, stappen om alle bestaande Kerberos-tickets in te trekken, procedures voor het resetten van bevoorrechte accountgegevens en forensische richtlijnen voor het identificeren van initiële compromitteringsvectoren. Snelle uitvoering van deze procedures beperkt persistentie van tegenstanders.

Deze preventieve maatregelen werken samen met detectiemogelijkheden om het Golden Ticket-risico in uw omgeving te verkleinen.

Waarom inzicht in Golden Ticket-mechanismen belangrijk is

Beveiligingsteams die de werking van Golden Ticket-aanvallen begrijpen, kunnen hun monitoringstrategie verschuiven van op handtekeningen gebaseerde detectie naar gedragsanalyse. Op handtekeningen gebaseerde tools falen omdat vervalste tickets cryptografisch geldig zijn. Gedragsanalyse identificeert afwijkende Kerberos-authenticatiepatronen zoals ongebruikelijke TGT-verzoeken, serviceticketoperaties vanaf onverwachte IP-adressen en tickets met abnormale geldigheidsperioden.

Dit inzicht verbetert ook de paraatheid voor incident response. Uw playbooks moeten het tweemaal resetten van KRBTGT-wachtwoorden bevatten, forensische procedures voor LSASS-geheugendumps en NTDS.dit-extractie, en containmentstrategieën voor scenario's met domeinbrede toegang.

De vereisten van de aanval creëren ook detectievensters voor uw beveiligingsteam.

Beperkingen van Golden Ticket-aanvallen

Tegenstanders moeten de KRBTGT-accounthash verkrijgen voordat ze een Golden Ticket-aanval kunnen uitvoeren, wat detectiemogelijkheden biedt voor verdedigers.

  • Vereiste toegang tot domeincontroller: Tegenstanders moeten eerst domeincontrollers of gelijkwaardige bevoorrechte systemen compromitteren om KRBTGT-hashes te extraheren. Dit creëert een detectievenster tijdens de credential access-fase. Monitor op ongebruikelijke toegangspogingen tot domeincontrollers, manipulatie van het LSASS-proces en toegangspatronen tot de NTDS.dit-database.
  • Cryptografische anomalie-indicatoren: Vervalste tickets vertonen vaak herkenbare kenmerken. RC4-encryptie in omgevingen waar RC4 is uitgeschakeld is een sterke indicator. U kunt ook tickets vinden met buitensporig lange geldigheidsperioden, ontbrekende PAC-structuren en authenticatiegebeurtenissen vanaf onverwachte IP-adressen.
  • Post-compromitteringsclassificatie: Golden Tickets functioneren als post-exploitatie-technieken binnen meerfasige aanvalsketens. Tegenstanders hebben geen voordeel bij ticketvervalsing zonder eerst netwerktoegang te verkrijgen, verkenning uit te voeren, privilege-escalatie te bereiken en de KRBTGT-hash te extraheren. Uw defense-in-depth-strategie moet zich richten op het voorkomen van de initiële compromitteringsketen in plaats van uitsluitend te monitoren op Golden Ticket-gebruik na inzet.

Ondanks deze beperkingen maken beveiligingsteams vaak fouten die hun verdediging verzwakken.

Veelgemaakte fouten bij verdediging tegen Golden Ticket-aanvallen

Beveiligingsteams maken vier veelvoorkomende fouten bij de verdediging tegen Golden Ticket-aanvallen.

  1. Enkele KRBTGT-wachtwoordreset: U reset het KRBTGT-wachtwoord één keer en gaat ervan uit dat bestaande Golden Tickets ongeldig zijn. Active Directory bewaart zowel de huidige als de vorige wachtwoordhash. Een enkele reset laat de vorige hash geldig, waardoor vervalste tickets van tegenstanders blijven werken. U moet het KRBTGT-wachtwoord tweemaal resetten om vervalste tickets volledig ongeldig te maken.
  2. Vertrouwen op handtekeninggebaseerde detectie: U implementeert op handtekeningen gebaseerde beveiligingsmaatregelen in de verwachting Golden Ticket-aanvallen te detecteren via patroonherkenning. Uw beveiligingstools kunnen vervalste tickets niet cryptografisch onderscheiden van legitieme tickets wanneer ze zijn versleuteld met geldige KRBTGT-sleutels. U heeft gedragsanalyse nodig die afwijkende Kerberos-patronen monitort.
  3. Onvoldoende logretentie: U bewaart onvoldoende Windows Security Event-logs en mist de uitgebreide onderzoekstijdlijn die nodig is voor Golden Ticket-forensisch onderzoek. Tegenstanders kunnen wachten tussen extractie van de KRBTGT-hash en actieve exploitatie. Beveiligingsteams hebben uitgebreide logretentie nodig om initiële compromittering te correleren met later ticketgebruik.
  4. Negeer vereiste aanvalsfases: U richt zich uitsluitend op het identificeren van Golden Ticket-gebruik en negeert de fase van credential theft die eerst moet plaatsvinden. CISA Advisory AA23-250a documenteert APT-actoren die LSASS-geheugendumps uitvoeren voordat ze beheerdersrechten verkrijgen. Detecteer de fase van credential extractie door te monitoren op ongebruikelijke LSASS-procesinteracties en uitvoering van bekende tools voor credential extractie.

Het vermijden van deze fouten vereist het implementeren van op bewijs gebaseerde beveiligingsmaatregelen.

Best practices voor bescherming tegen Golden Ticket-aanvallen

Verdediging tegen Golden Ticket-aanvallen vereist het implementeren van beveiligingsmaatregelen gericht op KRBTGT-accountbeheer, monitoring van Kerberos-authenticatie en snelle incident response.

  • Reset het KRBTGT-accountwachtwoord tweemaal: Stel regelmatige KRBTGT-wachtwoordresetschema's in volgens het tweemaal-resetprotocol. Active Directory bewaart zowel de huidige als de vorige KRBTGT-wachtwoordhashes voor achterwaartse compatibiliteit, dus een enkele reset laat bestaande Golden Tickets geldig. Alleen de tweede reset maakt alle vervalste tickets volledig ongeldig.
  • Configureer SIEM voor Kerberos-monitoring: Configureer Security Information and Event Management (SIEM)-systemen om Windows Event-ID's 4768, 4769, 4770 en 4771 te detecteren op afwijkende patronen. Uw monitoring moet signaleren:
  1. RC4-encryptie in AES-only omgevingen
  2. Tickets met abnormale geldigheidsperioden
  3. Authenticatiegebeurtenissen vanaf onverwachte IP-adressen
  4. Servicerequests die niet overeenkomen met gebruikersbaselines

Correleer afwijkende bestandsacties met ongebruikelijke Kerberos-serviceticketverzoeken. Identity security-platforms zoals Singularity Identity detecteren credential theft en privilege-escalatiepogingen in realtime en waarschuwen wanneer tegenstanders zich richten op Active Directory-infrastructuur.

  • Bescherm toegang tot domeincontrollers: Implementeer privileged access management-maatregelen die beheerdersrechten op domeincontrollers beperken tot speciale jump boxes met sessiemonitoring. Zet endpoint detection and response (EDR)-oplossingen in op domeincontrollers om credential dumping-tools te monitoren.
  • Implementeer gedragsanalyse: Implementeer analyse die pogingen tot het vervalsen of opnieuw afspelen van Kerberos-tickets identificeert door te monitoren op afwijkende authenticatiesequenties. Singularity XDR automatiseert deze correlatie, koppelt authenticatie-anomalieën aan endpoint-events en reconstrueert Golden Ticket-aanvalsketens.
  • Handhaaf uitgebreide logretentie: Verleng de retentie van Windows Security Event-logs om forensisch onderzoek van volledige aanvalsketens mogelijk te maken. Centraliseer Kerberos-authenticatielogs in uw SIEM-platform met correlatieregels voor authenticatie-anomalieën.

Het handmatig implementeren van deze maatregelen vereist aanzienlijke middelen. Securityplatforms kunnen veel van dit werk automatiseren.

Stop Golden Ticket-aanvallen met SentinelOne

SentinelOne's Singularity™ Platform biedt de gedragsanalyse en autonome correlatie die nodig zijn om Golden Ticket-aanvallen in uw omgeving te identificeren.

Singularity™ XDR liet 88% minder meldingen dan het mediane aantal zien in de 2024 MITRE ATT&CK Evaluations, met een detectienauwkeurigheid van 100%. Hierdoor kan uw beveiligingsteam zich richten op echte dreigingen in plaats van op valse positieven. De Storyline-technologie van het platform reconstrueert aanvalsketens met machine-snelheid, koppelt LSASS-geheugentoegang aan daaropvolgende Kerberos-authenticatie-anomalieën en identificeert de keten van credential theft tot ticketvervalsing.

Singularity™ Identity verdedigt hybride omgevingen: zowel Active Directory als cloudidentiteitsproviders - waaronder Entra ID, Okta, Ping, SecureAuth en Duo. Het platform detecteert pogingen tot credential theft, blokkeert laterale beweging en gebruikt deception-technologie om aanvallers weg te leiden van AD-infrastructuur, terwijl het telemetrie genereert voor onderzoek.

Purple AI versnelt threat hunting met natuurlijke taalqueries en AI-gestuurde analyse. Bij het onderzoeken van mogelijke Golden Ticket-activiteit correleert Purple AI authenticatie-indicatoren over meerdere gebeurtenissen, waardoor valse positieven worden verminderd en onderzoeken worden versneld.

SentinelOne Wayfinder Managed Detection and Response is een 24/7/365 managed service met interne experts die menselijke context toevoegen aan geautomatiseerde detecties. Hun analisten kunnen diepgaand forensisch onderzoek uitvoeren en effectieve incident response leveren. MDR Elite biedt geïntegreerde incident readiness en bereidt u voor op kritieke momenten. U krijgt toegang tot IRR-retainers en on-demand DFIR-experts.

SentinelOne Singularity™ Network Discovery kan netwerkdetectie uitvoeren en ongeautoriseerde apparaten op netwerken identificeren. Het identificeert, isoleert en bevat dreigingen na ontdekking en voorkomt laterale beweging. Network Discovery kan onbeheerde apparaten ontdekken en deze met één klik isoleren. Het monitort ook hoe onbekende apparaten communiceren met beheerde hosts. U kunt beleid opstellen en daartussen schakelen, zelfs voor subnetten.

SentinelOne Cloud Workload Security beschermt cloud-instances (AWS, Azure, Google Cloud) en Kubernetes-containers - cruciaal voor verdediging tegen Golden Ticket-aanvallen die zich kunnen uitbreiden naar cloudomgevingen via domeingekoppelde hybride infrastructuren.

De gedragsmatige AI-engines (statistisch en runtime) van SentinelOne kunnen credential theft stoppen en abnormale authenticatiepatronen detecteren voordat ticketvervalsing plaatsvindt, waardoor aanvallen vroeg in de kill chain worden gestopt.

Vraag een SentinelOne-demo aan om te zien hoe deze mogelijkheden Golden Ticket-aanvallen in uw omgeving stoppen.

Singularity™-platform

Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.

Vraag een demo aan

Veelgestelde vragen

Een Golden Ticket-aanval is een post-exploitatie techniek die zich richt op Active Directory-omgevingen waarbij aanvallers vervalste Kerberos Ticket-Granting Tickets (TGT's) aanmaken met gestolen KRBTGT-accountwachtwoordhashes. 

Deze vervalste tickets geven domeinbrede toegang op elk bevoegdheidsniveau en blijven geldig totdat u het KRBTGT-wachtwoord tweemaal reset. Aanvallers kunnen zich als elke gebruiker authenticeren, elke bron benaderen en langdurige toegang behouden gedurende maanden of jaren zonder standaard beveiligingswaarschuwingen te activeren.

Beveiligingsteams die de werking van Golden Ticket-aanvallen begrijpen, kunnen hun monitoringstrategie verschuiven van op signatures gebaseerde detectie naar gedragsanalyse. Op signatures gebaseerde tools falen omdat vervalste tickets cryptografisch geldig zijn. Gedragsanalyse identificeert afwijkende Kerberos-authenticatiepatronen, zoals ongebruikelijke TGT-aanvragen, service ticket-operaties vanaf onverwachte IP-adressen en tickets met abnormale geldigheidsperiodes. 

Dit inzicht verbetert ook de paraatheid voor incidentrespons, door playbooks te informeren voor het tweemaal resetten van het KRBTGT-protocol, procedures voor forensische analyse en beheersingsstrategieën voor scenario's met domeinbrede toegang.

MITRE ATT&CK documenteert verschillende tools die aanvallers gebruiken voor Golden Ticket-aanvallen. Mimikatz is het meest gedocumenteerd en kan zowel KRBTGT-extractie als ticketvervalsing uitvoeren via de kerberos::golden-module. 

Rubeus biedt een C#-implementatie met betere ontwijking van beveiligingsmaatregelen. Impacket levert een Python-gebaseerde toolkit, waaronder ticketer.py voor TGT-generatie. Sliver is een command-and-control-framework met ingebouwde mogelijkheden voor Kerberos-ticketmanipulatie.

Tegenstanders extraheren de KRBTGT-wachtwoordhash via twee primaire methoden. De eerste richt zich op het NTDS.dit-databasebestand op domeincontrollers, waarin alle Active Directory-referenties worden opgeslagen. Hulpmiddelen zoals ntdsutil, secretsdump of volume shadow copy maken offline extractie uit deze database mogelijk. 

De tweede methode richt zich op het LSASS-procesgeheugen op domeincontrollers, waar referentiemateriaal in platte tekst of eenvoudig omkeerbare formaten aanwezig is. 

Beide methoden vereisen administratieve toegang tot domeincontrollers of gelijkwaardige bevoorrechte systemen, wat betekent dat tegenstanders eerst privilege-escalatie moeten bereiken voordat ze Golden Ticket-aanvallen kunnen uitvoeren.

Golden Tickets blijven geldig totdat u het KRBTGT-wachtwoord tweemaal reset op alle domeincontrollers. Tegenstanders stellen doorgaans verlengde geldigheidsperioden in bij het vervalsen van tickets; de daadwerkelijke levensduur hangt af van uw KRBTGT-wachtwoordrotatieschema.

Golden Tickets vervalsen TGT's met behulp van de KRBTGT-account-hash, waardoor domeinbrede toegang tot alle resources wordt verkregen. Silver Tickets vervalsen servicetickets met behulp van individuele serviceaccount-hashes, waardoor de toegang wordt beperkt tot specifieke services zoals bestandsdeling of SQL-databases. 

Golden Tickets vereisen compromittering van de domeincontroller om de KRBTGT-hash te extraheren. Silver Tickets vereisen alleen compromittering van het doelserviceaccount.

Multi-factor authenticatie (MFA) kan Golden Ticket-aanvallen niet voorkomen omdat vervalste tickets de initiële authenticatiefase volledig omzeilen. MFA beschermt tegen initiële compromitteringspogingen, maar biedt geen verdediging zodra aanvallers de KRBTGT-hash hebben buitgemaakt. 

Richt u in plaats daarvan op het monitoren van de vereiste fase van credential diefstal: ongebruikelijke toegang tot het LSASS-proces, pogingen tot extractie van NTDS.dit en het uitvoeren van credential dumping tools.

Monitor Event ID's 4768, 4769 en 4770 op RC4-versleuteling in AES-omgevingen, abnormale geldigheidsperioden, inconsistente service ticket-aanvragen en onverwachte IP-adressen. Implementeer gedragsanalyse die normale authenticatiepatronen per gebruiker vastlegt; afwijkingen activeren waarschuwingen met hoge prioriteit die onmiddellijke opvolging vereisen.

Reset direct het KRBTGT-wachtwoord tweemaal op alle domeincontrollers om bestaande Golden Tickets ongeldig te maken. Trek vervolgens bestaande Kerberos-tickets in door KDC-services te herstarten, voer forensisch onderzoek uit naar initiële compromitteringsvectoren, reset alle wachtwoorden van bevoorrechte accounts en herstel gecompromitteerde domeincontrollers vanaf schone back-ups.

Golden Ticket-aanvallen omzeilen beveiligingsmaatregelen omdat vervalste tickets cryptografisch identiek zijn aan legitieme tickets. Uw domeincontrollers valideren tickets door de KRBTGT versleutelingshandtekening te controleren. 

Wanneer aanvallers tickets vervalsen met de daadwerkelijke KRBTGT-hash, slaagt de verificatie. Geen enkele op handtekeningen gebaseerde tool kan onderscheid maken tussen authentieke en vervalste tickets.

Ontdek Meer Over Cyberbeveiliging

Wat zijn onveranderlijke back-ups? Autonome bescherming tegen ransomwareCyberbeveiliging

Wat zijn onveranderlijke back-ups? Autonome bescherming tegen ransomware

Onveranderlijke back-ups gebruiken WORM-technologie om herstelpunten te creëren die ransomware niet kan versleutelen of verwijderen. Lees best practices voor implementatie en veelvoorkomende fouten.

Lees Meer
HUMINT in cybersecurity voor enterprise security leadersCyberbeveiliging

HUMINT in cybersecurity voor enterprise security leaders

HUMINT-aanvallen manipuleren medewerkers om netwerktoegang te verlenen, waardoor technische beveiligingsmaatregelen volledig worden omzeild. Leer hoe u zich kunt verdedigen tegen social engineering en insider threats.

Lees Meer
Wat is een Vendor Risk Management Programma?Cyberbeveiliging

Wat is een Vendor Risk Management Programma?

Een vendor risk management programma beoordeelt risico's van derde partijen gedurende de gehele bedrijfslevenscyclus. Leer over VRM-componenten, continue monitoring en best practices.

Lees Meer
SOC 1 vs SOC 2: Verschillen tussen compliance-raamwerken uitgelegdCyberbeveiliging

SOC 1 vs SOC 2: Verschillen tussen compliance-raamwerken uitgelegd

SOC 1 beoordeelt controles voor financiële verslaglegging; SOC 2 beoordeelt beveiliging en gegevensbescherming. Leer wanneer u elk type rapport moet opvragen en hoe u leverancierscompliance kunt beoordelen.

Lees Meer
Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ontdek hoe 's werelds meest intelligente, autonome cyberbeveiligingsplatform uw organisatie vandaag en in de toekomst kan beschermen.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch