Hacking en Active Directory - [CPAD-100]

Golden Ticket

AnteriorSilver Ticket para CIFS SiguienteDiferencias entre Silver Ticket y Golden Ticket

Última actualización hace 9 meses

¿Te fue útil?

Golden Ticket

Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: . ¡Te esperamos para empezar este viaje juntos!

OBJETIVO DEL EJERCICIO #27: Este ejercicio deberia ser realizado desde el servidor de First-DC. Para realizarlo es suficiente tener encendido UNICAMENTE First-DC y Second-DC.

El "Golden Ticket" es un término utilizado en la seguridad informática para describir una técnica de ataque que explota la confianza inherente en el modelo de autenticación de Kerberos en una infraestructura de Active Directory (AD). Es un tipo de ataque que permite a un atacante asumir la identidad de cualquier cuenta en el dominio de AD y emitir tickets de acceso a recursos de forma arbitraria, básicamente dándole al atacante el "pase de oro" para acceder a cualquier recurso dentro de un dominio.

¿Qué es un Golden Ticket? Un Golden Ticket es un Ticket Granting Ticket (TGT) que ha sido creado fraudulentamente utilizando una clave secreta de dominio llamada KRBTGT. La cuenta KRBTGT es una cuenta de servicio de Active Directory que firma todos los TGTs, y la clave es conocida solo por el Controlador de Dominio. Si un atacante obtiene el hash de esta clave (a través de técnicas como la extracción de hash o un ataque de Pass-the-Hash), puede generar un TGT válido por cualquier usuario, para cualquier servicio.

¿Cómo funciona el ataque de Golden Ticket?

El atacante obtiene el hash de la clave KRBTGT, generalmente comprometiendo primero un dominio con privilegios de administrador.
Utiliza ese hash para crear un TGT para el dominio de AD que el sistema considerará auténtico porque está firmado con la clave correcta.
El atacante presenta el TGT al servicio de Ticket Granting Service (TGS) cada vez que necesita acceder a un recurso, y recibe tickets de servicio (ST) sin necesidad de autenticación adicional.
El atacante puede entonces acceder a cualquier recurso dentro del dominio, como si fuera cualquier usuario, incluyendo cuentas de administrador.

Riesgos del Golden Ticket:

El atacante tiene control total sobre el dominio de AD y puede acceder a cualquier recurso.
Puede ser utilizado para moverse lateralmente a través de la red.
Permite al atacante mantener un acceso persistente y difícil de detectar a la red.

Mitigación: Para mitigar y proteger contra ataques de Golden Ticket:

Cambie regularmente la contraseña de la cuenta KRBTGT, lo que invalida los TGTs existentes y requiere que los TGTs se reautentiquen.
Implemente políticas de seguridad fuertes y una higiene de contraseñas adecuada.
Realice auditorías y monitoreos regulares del uso de las credenciales en la red.
Implemente sistemas de detección de intrusiones y comportamiento anómalo, como la emisión inusual de TGTs.
Educación y capacitación continua sobre seguridad para los administradores de sistemas.

AnteriorSilver Ticket para CIFS SiguienteDiferencias entre Silver Ticket y Golden Ticket

Última actualización hace 9 meses

¿Te fue útil?

OBJETIVO DEL EJERCICIO #27: Este ejercicio deberia ser realizado desde el servidor de First-DC. Para realizarlo es suficiente tener encendido UNICAMENTE First-DC y Second-DC.

¿Cómo funciona el ataque de Golden Ticket?

El atacante obtiene el hash de la clave KRBTGT, generalmente comprometiendo primero un dominio con privilegios de administrador.
Utiliza ese hash para crear un TGT para el dominio de AD que el sistema considerará auténtico porque está firmado con la clave correcta.
El atacante presenta el TGT al servicio de Ticket Granting Service (TGS) cada vez que necesita acceder a un recurso, y recibe tickets de servicio (ST) sin necesidad de autenticación adicional.
El atacante puede entonces acceder a cualquier recurso dentro del dominio, como si fuera cualquier usuario, incluyendo cuentas de administrador.

Riesgos del Golden Ticket:

El atacante tiene control total sobre el dominio de AD y puede acceder a cualquier recurso.
Puede ser utilizado para moverse lateralmente a través de la red.
Permite al atacante mantener un acceso persistente y difícil de detectar a la red.

Mitigación: Para mitigar y proteger contra ataques de Golden Ticket:

Cambie regularmente la contraseña de la cuenta KRBTGT, lo que invalida los TGTs existentes y requiere que los TGTs se reautentiquen.
Implemente políticas de seguridad fuertes y una higiene de contraseñas adecuada.
Realice auditorías y monitoreos regulares del uso de las credenciales en la red.
Implemente sistemas de detección de intrusiones y comportamiento anómalo, como la emisión inusual de TGTs.
Educación y capacitación continua sobre seguridad para los administradores de sistemas.