O ataque Golden Ticket, descoberto pelo pesquisador de segurança Benjamin Delpy, dá ao invasor acesso total e completo ao seu domínio. É um Bilhete Dourado (lembram da Fantástica Fábrica de Chocolate?) para TODOS os seus computadores, arquivos, pastas e, o mais importante, controladores de domínio (DC, Domain Controllers).
Há casos em que o invasor pode ter um Golden Ticket por vários anos – não há como afirmar como conseguiu roubar. Ele acessa um o computador de um único usuário, instala o mimikatz, e o resto é história.
Como funciona um ataque Golden Ticket
No Active Directory, as contas entram com um nome de usuário e senha e recuperam um tíquete Kerberos que contém seu token de autenticação.
O Golden Ticket é o token de autenticação da conta KRBTGT, uma conta especial oculta que tem o trabalho de criptografar todos os tokens de autenticação do DC. O Golden Ticket pode então usar uma técnica de passar o hash para fazer login em qualquer conta, permitindo que os invasores se movimentem pela rede sem serem notados.
Para criar e usar um Golden Ticket, o invasor precisa encontrar um caminho para a rede:
1 – Infectar o computador de destino com malware que permita que invasores utilizem contas de usuário para acessar outros recursos de rede.
2 – Obter acesso a uma conta com privilégios elevados para acessar aos controladores de domínio (DC).
3 – Fazer o login no DC e gravar o hash de senha para a conta KRBTGT para criar o Golden Ticket. O Invasor usa o mmikatz, ou um aplicativo hacking semelhante, para despejar o hash de senha.
4 – Carregar o token Kerberos em qualquer sessão, para qualquer usuário e para acessar o que quiser na rede – novamente usando o mimikatz.
O ataque é inteligente, mas não é fácil de executar
A parte mais ardilosa desse ataque é que você pode alterar a senha da conta KRBTGT ou reconstruir o DC, mas o token de autenticação ainda é válido
É incrivelmente difícil fazer a limpeza depois que um Golden Ticket é criado para o seu domínio.
Como se defender de um ataque de Golden Ticket
A defesa não é muito diferente de se proteger de qualquer outro malware ou ataque de infiltração. Para que um ataque de Golden Ticket ocorra, é preciso que o invasor tenha, primeiramente, acesso privilegiado. Então, quanto mais difícil o roubo de credenciais, mais a empresa está protegida.
– Treine usuários para reconhecer links ruins (e não clicar neles)
– Aplique um modelo de privilégio mínimo
– Limite o acesso do usuário apenas ao que ele precisa
– Limite o acesso do administrador e do administrador de domínio
– Use contas de administrador com moderação e somente par alterações aprovadas
– Instale proteção de terminal para impedir que invasores carreguem módulos como mimikatz
– Crie um ponto de estrangulamento para o acesso aos seus DCs, adicionando outra camada de proteção
– Crie um terminal que só pode falar com os DCs
– Configure os DCs para aceitar apenas conexões administrativas desse terminal
– Monitore a atividade de arquivos e o comportamento do usuário
– Alerte sobre comportamento que indique ataques de Golden Ticket
Como a Varonis pode ajudar a evitar um ataque de Golden Ticket?
A Varonis aproveita a análise de segurança para descobrir e alertar sobre vulnerabilidades de segurança e possíveis ataques. Nossos modelos de ameaças são projetados desde o início para detectar atividades e ataques em toda a rede. Caso ocorra uma infiltração, a Varonis analisa a telemetria de perímetro e relaciona esses dados com os coletados nos Serviços de Diretório.
Assim, reconhecemos a tentativa de login com credenciais de usuário a partir de um endereço IP desconhecido. Com isso, uma equipe de segurança tem tempo para remover o RAT do computador do usuário e alterar sua senha muito antes do invasor conseguir se infiltrar na empresa.
Caso ele já esteja na empresa, a opção para recuperar uma conta privilegiada é realizar um ataque de força bruta para detectar a ameaça. Se o atacante usar o mimikatz, a Varonis consegue enviar um alerta aos administradores durante a tentativa. E, se o atacante já estiver no sistema e criar um Golden Ticket, é possível identifica-lo assim que ele tentar fazer login em uma conta que com privilégios de acesso total ao domínio.
Nossa avaliação de riscos mostra rapidamente onde seus dados mais vulneráveis estão armazenados, quem está os acessando e o que é necessário para mantê-los protegidos. Faça uma avaliação dos riscos.