Diferencias entre Silver Ticket y Golden Ticket
Los términos "Golden Ticket" y "Silver Ticket" son utilizados en el contexto de ataques dentro de entornos que usan Kerberos para la autenticación, específicamente en redes con Active Directory. Aquí están las diferencias clave:
Golden Ticket:
Un Golden Ticket es un Ticket Granting Ticket (TGT) falsificado.
Se crea después de que el atacante obtiene acceso al hash de la contraseña de la cuenta
KRBTGT
, que es la cuenta de servicio de dominio en Active Directory responsable de firmar todos los TGT.Con un Golden Ticket, un atacante puede crear TGTs para cualquier cuenta de usuario en el dominio, lo que le permite obtener acceso a casi todos los recursos y servicios en ese dominio de AD.
Esencialmente, brinda acceso ilimitado y persistente al atacante hasta que la contraseña de la cuenta
KRBTGT
sea cambiada o el ticket expire (lo que puede ser configurado para que nunca ocurra).Un Golden Ticket es utilizado para autenticarse con el Ticket Granting Service (TGS) de Kerberos para obtener tickets de servicio para otros servicios dentro del dominio.
Silver Ticket:
Un Silver Ticket es un Ticket de Servicio (ST) falsificado.
Se crea después de que el atacante obtiene acceso al hash de la contraseña de una cuenta de servicio específica (por ejemplo, una cuenta que ejecuta un servidor SQL, una cuenta de computadora para un servidor de archivos, etc.).
Con un Silver Ticket, un atacante puede acceder a un servicio específico para el que el ticket ha sido creado, pero no tiene acceso ilimitado a todos los servicios del dominio.
Ofrece un nivel de persistencia y discreción, ya que puede pasar desapercibido más fácilmente que un Golden Ticket. Esto es porque el Silver Ticket solo interactúa con el servicio específico, y no con el TGS (que podría registrar y auditar peticiones sospechosas).
En resumen, mientras que un Golden Ticket proporciona acceso amplio y control total sobre el dominio, permitiendo a un atacante suplantar a cualquier usuario, un Silver Ticket ofrece acceso a un servicio o aplicación específica sin alertar a los controladores de dominio. Ambos son poderosos y pueden ser utilizados para mantener el acceso persistente a un entorno comprometido, pero sus ámbitos de uso y detección son diferentes.
Última actualización