Que es un Golden Ticket?
Un Golden Ticket es un Ticket Granting Ticket (TGT) de Kerberos falsificado que otorga a un atacante acceso ilimitado y persistente a todos los recursos de un dominio Active Directory, sin necesitar la contrasena de ningun usuario.
El ataque abusa de la cuenta KRBTGT, cuyo hash se utiliza para firmar cada TGT emitido en el dominio. Si un atacante obtiene este hash, puede fabricar TGTs validos para cualquier usuario, incluidos los Administradores de Dominio, con cualquier pertenencia a grupos y cualquier fecha de expiracion.
⚠️ Critico: Un Golden Ticket sigue siendo valido hasta que la contrasena de KRBTGT se rote dos veces. Restablecer todas las demas cuentas del dominio no tiene ningun efecto.
Como Funciona
La autenticacion Kerberos se basa en un tercero de confianza: el Key Distribution Center (KDC), que se ejecuta en cada Controlador de Dominio.
Flujo normal:
- Un usuario se autentica ante el KDC y recibe un TGT, firmado con el hash de KRBTGT.
- El usuario presenta el TGT para obtener Service Tickets (TGS) para recursos especificos.
- Los servicios validan el TGS y conceden acceso.
Ningun servicio valida los TGTs directamente con el KDC en el momento de su uso: confian en la firma. Un TGT falsificado, firmado con el hash real de KRBTGT, es indistinguible de uno legitimo.
La Cadena de Ataque
Paso 1 - Obtener Privilegios de Domain Admin
El atacante necesita privilegios suficientes para extraer el hash de KRBTGT, tipicamente comprometiendo un Controlador de Dominio o abusando de derechos de DCSync.
Paso 2 - Extraer el Hash de KRBTGT via DCSync
# Mimikatz
lsadump::dcsync /domain:corp.local /user:krbtgt
# Impacket (desde Linux)
impacket-secretsdump -just-dc-user krbtgt corp.local/admin:[email protected]
Paso 3 - Falsificar el Golden Ticket
kerberos::golden /user:Administrator /domain:corp.local /sid:S-1-5-21-XXXXXXXXXX /krbtgt:HASH /ptt
| Parametro | Descripcion |
|---|---|
/user | Cualquier nombre de usuario, real o ficticio |
/sid | SID del dominio (de la salida de DCSync) |
/krbtgt | Hash NTLM de la cuenta KRBTGT |
/endin | Duracion del ticket en minutos — los atacantes suelen poner 87600 (10 anos) |
/ptt | Pass-the-ticket: inyectar directamente en la sesion actual |
Paso 4 - Acceso Total y Persistencia
El TGT falsificado es aceptado por todos los servicios del dominio. El atacante puede acceder a cualquier recurso compartido, sesion RDP, crear cuentas backdoor y distribuir GPOs maliciosas.
Deteccion
Event IDs de Windows
| Event ID | Fuente | Que buscar |
|---|---|---|
| 4768 | DC - Security | Solicitudes de TGT desde IPs inusuales o fuera de horario |
| 4769 | DC - Security | Cifrado RC4 (0x17) cuando AES es el estandar |
| 4672 | DC - Security | Privilegios especiales asignados a cuentas inesperadas |
| 4624 | Estacion/Servidor | Inicio de sesion de red (Tipo 3) desde cuentas sin actividad previa |
Anomalias de Comportamiento
- Duracion del ticket superior a 10 horas - el maximo predeterminado de Microsoft es 10h
- Nombres de usuario inexistentes en eventos Kerberos
- Cifrado RC4 cuando el dominio impone AES
- Solicitud TGS sin AS-REQ previo en el DC
Consulta SIEM (Elastic KQL)
event.code: "4769" AND
winlog.event_data.TicketEncryptionType: "0x17" AND
NOT winlog.event_data.ServiceName: ("krbtgt" OR "*$")
💡 Consejo: Aplique cifrado AES exclusivo en su dominio. Cualquier trafico RC4 se convierte en una alerta de alta confianza.
Remediacion
⚠️ Requisito previo: Identifique y contenga el vector de compromiso antes de rotar KRBTGT.
Acciones Inmediatas
Rotar la contrasena de KRBTGT dos veces, con un retraso entre rotaciones igual a la duracion maxima de los tickets (predeterminado: 10 horas):
# https://github.com/microsoft/New-KrbtgtKeys.ps1
.\New-KrbtgtKeys.ps1 -Mode ModeSingle
# Esperar al menos 10 horas
.\New-KrbtgtKeys.ps1 -Mode ModeSingle
Endurecimiento
| Control | Descripcion |
|---|---|
| Privileged Access Workstations (PAW) | Restringir los inicios de sesion de Domain Admin a estaciones dedicadas |
| Modelo de Administracion en Niveles | Evitar la exposicion de credenciales Tier 0 en sistemas Tier 1/2 |
| Grupo Protected Users | Deshabilita RC4, NTLM y almacenamiento en cache de credenciales |
| Aplicar AES | Establecer msDS-SupportedEncryptionTypes = 24 en KRBTGT |
| Auditar derechos DCSync | Alertar sobre cuentas no-DC con DS-Replication-Get-Changes-All |
Como EtcSec Detecta Esto
EtcSec verifica las condiciones que hacen posibles los ataques Golden Ticket en su entorno.
La deteccion GOLDEN_TICKET_RISK senala entornos donde la contrasena de la cuenta KRBTGT no ha sido rotada recientemente.
Controles relacionados:
- WEAK_KERBEROS_POLICY - configuraciones permisivas amplian la ventana de exposicion
- KERBEROS_RC4_FALLBACK - RC4 aun permitido facilita la falsificacion y dificulta la deteccion
- UNCONSTRAINED_DELEGATION - precursor comun de los ataques Golden Ticket
ℹ️ Nota: EtcSec verifica automaticamente estas vulnerabilidades en cada auditoria AD. Ejecute una auditoria gratuita para verificar si su entorno esta expuesto.
