Дисклеймер: це відео створено виключно в навчально-просвітницьких цілях. Матеріал не закликає до протиправних дій і не призначений для використання проти чужих інформаційних систем. Всі демонстрації виконано в ізольованому та контрольованому середовищі.
Що таке атака Golden Ticket?
Згадаймо, що символізував золотий квиток у «Чарлі та шоколадній фабриці» – необмежений доступ до всього, без жодних перешкод. У термінах кібербезпеки атака Golden Ticket надає зловмиснику приблизно такий самий «безперешкодний» доступ до доменної інфраструктури.
Коротко про суть атаки Golden Ticket: це спосіб зловживання механізмом автентифікації Kerberos, коли нападник використовує хеш облікового запису KRBTGT в Active Directory для фальсифікації Ticket Granting Ticket (TGT). Наслідок: можливість видавати себе за будь-якого користувача (включно з адміністраторами) і отримувати тривалий доступ до ресурсів домену без звичних перевірок.
Для реалізації таких атак у реальному житті часто застосовують відомі утиліти (наприклад, Mimikatz або бібліотеки Impacket), які допомагають працювати з відповідними криптографічними даними. Оскільки підроблені TGT відповідають очікуванням KDC на криптографічному рівні, центр розподілу ключів їх приймає навіть після зміни паролів – це вказує на конструктивну вразливість у механізмі Kerberos.
Через те що контролери домену технічно «не бачать» різниці між підробленими й легітимними квитками, звичайні журнали автентифікації часто не фіксують ознак атаки. Простого скидання пароля тут замало: для того, щоб повністю припинити можливість генерації фальшивих квитків, необхідно виконати подвійну ротацію ключа KRBTGT на кожному контролері домену.
У цьому відео показано ілюстративну демонстрацію того, як така атака може виконуватися в Active Directory.
