O que e um Golden Ticket?
Um Golden Ticket e um Ticket Granting Ticket (TGT) Kerberos falsificado que concede a um atacante acesso ilimitado e persistente a todos os recursos de um dominio Active Directory, sem precisar da senha de nenhum usuario.
O ataque abusa da conta KRBTGT, cujo hash e utilizado para assinar cada TGT emitido no dominio. Se um atacante obtiver esse hash, pode fabricar TGTs validos para qualquer usuario, incluindo Administradores de Dominio, com qualquer pertenca a grupos e qualquer data de expiracao.
⚠️ Critico: Um Golden Ticket permanece valido ate que a senha do KRBTGT seja rotacionada duas vezes. Redefinir todas as outras contas do dominio nao tem nenhum efeito.
Como Funciona
A autenticacao Kerberos baseia-se em um terceiro confiavel: o Key Distribution Center (KDC), que e executado em cada Controlador de Dominio.
Fluxo normal:
- Um usuario autentica-se no KDC e recebe um TGT, assinado com o hash do KRBTGT.
- O usuario apresenta o TGT para obter Service Tickets (TGS) para recursos especificos.
- Os servicos validam o TGS e concedem acesso.
Nenhum servico valida os TGTs diretamente no KDC no momento do uso: eles confiam na assinatura. Um TGT falsificado, assinado com o hash real do KRBTGT, e indistinguivel de um legitimo.
A Cadeia de Ataque
Etapa 1 - Obter Privilegios de Domain Admin
O atacante precisa de privilegios suficientes para extrair o hash do KRBTGT, tipicamente comprometendo um Controlador de Dominio ou abusando de direitos de DCSync.
Etapa 2 - Extrair o Hash do KRBTGT via DCSync
# Mimikatz
lsadump::dcsync /domain:corp.local /user:krbtgt
# Impacket (do Linux)
impacket-secretsdump -just-dc-user krbtgt corp.local/admin:[email protected]
Etapa 3 - Falsificar o Golden Ticket
kerberos::golden /user:Administrator /domain:corp.local /sid:S-1-5-21-XXXXXXXXXX /krbtgt:HASH /ptt
| Parametro | Descricao |
|---|---|
/user | Qualquer nome de usuario, real ou ficticio |
/sid | SID do dominio (da saida do DCSync) |
/krbtgt | Hash NTLM da conta KRBTGT |
/endin | Duracao do ticket em minutos — atacantes costumam usar 87600 (10 anos) |
/ptt | Pass-the-ticket: injetar diretamente na sessao atual |
Etapa 4 - Acesso Total e Persistencia
O TGT falsificado e aceito por todos os servicos do dominio. O atacante pode acessar qualquer recurso compartilhado, sessao RDP, criar contas backdoor e distribuir GPOs maliciosas.
Deteccao
Event IDs do Windows
| Event ID | Fonte | O que observar |
|---|---|---|
| 4768 | DC - Security | Solicitacoes de TGT de IPs incomuns ou em horarios anomalos |
| 4769 | DC - Security | Cifrado RC4 (0x17) quando AES e o padrao |
| 4672 | DC - Security | Privilegios especiais atribuidos a contas inesperadas |
| 4624 | Estacao/Servidor | Logon de rede (Tipo 3) de contas sem atividade anterior |
Consulta SIEM (Elastic KQL)
event.code: "4769" AND
winlog.event_data.TicketEncryptionType: "0x17" AND
NOT winlog.event_data.ServiceName: ("krbtgt" OR "*$")
💡 Dica: Aplique cifrado AES exclusivo em seu dominio. Qualquer trafego RC4 torna-se imediatamente um alerta de alta confianca.
Remediacao
⚠️ Pre-requisito: Identifique e contenha o vetor de comprometimento antes de rotacionar o KRBTGT.
Acoes Imediatas
Rotacionar a senha do KRBTGT duas vezes, com um intervalo entre as rotacoes igual ao tempo de vida maximo dos tickets (padrao: 10 horas):
# https://github.com/microsoft/New-KrbtgtKeys.ps1
.\New-KrbtgtKeys.ps1 -Mode ModeSingle
# Aguardar pelo menos 10 horas
.\New-KrbtgtKeys.ps1 -Mode ModeSingle
Reforcamento
| Controle | Descricao |
|---|---|
| Privileged Access Workstations (PAW) | Restringir logons de Domain Admin a estacoes dedicadas |
| Modelo de Administracao em Camadas | Evitar exposicao de credenciais Tier 0 em sistemas Tier 1/2 |
| Grupo Protected Users | Desabilita RC4, NTLM e cache de credenciais |
| Aplicar AES | Definir msDS-SupportedEncryptionTypes = 24 no KRBTGT |
| Auditar direitos DCSync | Alertar sobre contas nao-DC com DS-Replication-Get-Changes-All |
Como o EtcSec Detecta Isso
O EtcSec verifica as condicoes que tornam os ataques Golden Ticket possiveis em seu ambiente.
A deteccao GOLDEN_TICKET_RISK sinaliza ambientes onde a senha da conta KRBTGT nao foi rotacionada recentemente.
Verificacoes relacionadas:
- WEAK_KERBEROS_POLICY - configuracoes permissivas ampliam a janela de exposicao
- KERBEROS_RC4_FALLBACK - RC4 ainda permitido facilita a falsificacao e dificulta a deteccao
- UNCONSTRAINED_DELEGATION - precursor comum dos ataques Golden Ticket
ℹ️ Nota: O EtcSec verifica automaticamente essas vulnerabilidades em cada auditoria AD. Execute uma auditoria gratuita para verificar se seu ambiente esta exposto.
Leituras Relacionadas
Este tema fica mais claro quando voce o compara com Abuso de ACL e DCSync: Os Caminhos Silenciosos para o Domain Admin, Ataques de Delegacao Kerberos: Da Delegacao Nao Restrita ao Abuso RBCD e Kerberoasting: Como os Atacantes Crackiam Senhas de Contas de Servico. Esses artigos cobrem os caminhos adjacentes, as hipoteses de privilegio e as falhas de controle que costumam aparecer juntas em uma avaliacao real.
- Abuso de ACL e DCSync: Os Caminhos Silenciosos para o Domain Admin
- Ataques de Delegacao Kerberos: Da Delegacao Nao Restrita ao Abuso RBCD
- Kerberoasting: Como os Atacantes Crackiam Senhas de Contas de Servico
Essa revisao cruzada ajuda a verificar se voce esta corrigindo uma falha isolada ou uma cadeia inteira de exposicao em identidade.
Prioridades de Revisao
Golden Ticket: As Chaves do Seu Dominio deve ser tratado como uma exposicao real dentro de seu ambiente Active Directory, e nao como uma configuracao isolada. O primeiro passo e definir o perimetro de revisao: quais grupos privilegiados, contas de servico, ACLs, links de GPO, trusts, delegacoes, templates de certificado e estacoes admin estao envolvidos, que dependencias de negocio existem, que privilegios ficam expostos e que excecoes de emergencia se acumularam com o tempo. Esse trabalho evita uma remediacao superficial, porque o sintoma tecnico costuma ser menor que o raio operacional de impacto. Quando o time documenta o caminho completo entre configuracao, privilegio e uso real, consegue priorizar mudancas que reduzem risco sem quebrar acessos legitimos nem travar a operacao.
Controles Adjacentes a Revisar
Quando um atacante entra em seu ambiente Active Directory, quase nunca para no primeiro ponto fraco. Em torno de Golden Ticket: As Chaves do Seu Dominio, ele normalmente tenta encadear o acesso com contas privilegiadas obsoletas, aninhamento perigoso, delegacao excessiva, politicas de senha fracas e abuso de ACL herdada. Por isso a defesa precisa revisar nao apenas a fraqueza principal, mas tambem cada dependencia vizinha que possa transformar acesso inicial em persistencia ou escalada. E preciso deixar claro quais identidades, roles, permissoes e suposicoes de confianca ainda podem ser reutilizadas. Se a correcao fecha um objeto, mas deixa caminhos adjacentes abertos, o risco real pouco muda. Uma boa analise de encadeamento e o que transforma este tema em hardening de verdade.
Evidencias e telemetria a revisar
Uma resposta madura para Golden Ticket: As Chaves do Seu Dominio depende de evidencias que engenharia e deteccao possam revisar juntas. Colete Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, mudancas em SYSVOL e atividade de certificados, compare mudancas recentes com janelas de manutencao esperadas e isole contas ou objetos cujo comportamento nao tenha justificativa clara de negocio. Essas evidencias devem responder a tres perguntas: quando a exposicao apareceu, quem ainda consegue usá-la e se existem variantes parecidas em outra parte de seu ambiente Active Directory. Revisar telemetria tambem ajuda a separar divida tecnica antiga de abuso ativo ou de controles afrouxados recentemente. Essa distincao muda a prioridade, a comunicacao e a ordem correta da remediacao.
Fraquezas vizinhas que merecem revisao
Poucos ambientes contem Golden Ticket: As Chaves do Seu Dominio de forma isolada. Na pratica, a mesma zona do tenant ou do diretorio costuma trazer tambem contas privilegiadas obsoletas, aninhamento perigoso, delegacao excessiva, politicas de senha fracas e abuso de ACL herdada, e sao essas fraquezas vizinhas que definem se a exposicao fica apenas feia ou se vira um caminho critico. Revise owners compartilhados, permissoes herdadas, excecoes duplicadas e atalhos administrativos que nunca foram removidos. Se o mesmo padrao de risco aparece em varios objetos, normalmente existe um problema de processo e nao apenas um erro tecnico. Essa visao mais ampla aumenta a chance de eliminar o caminho inteiro, e nao apenas uma peca visivel dele.
Ordem de remediacao que reduz risco rapido
Para Golden Ticket: As Chaves do Seu Dominio, a remediacao deve seguir uma ordem que derrube risco antes de buscar perfeicao. Primeiro feche os caminhos com maior valor de escalada, depois proteja as identidades ou objetos mais sensiveis e so entao limpe os gaps secundarios de hygiene. Use tiering, limpeza de delegacoes, revisao de ACLs, higiene de contas de servico, revisao de permissoes GPO e hardening ADCS como conjunto de controles alvo. Cada mudanca precisa ter owner, nota de rollback e validacao clara. Essa disciplina evita que o programa morra depois do primeiro ganho tecnico. Se uma reformulacao completa nao e viavel agora, documente controles intermediarios e planeje o trabalho estrutural para o proximo revisao semanal de privilegios e validacao mensal de controles.
Validacao depois de cada mudanca
Depois de qualquer ajuste relacionado a Golden Ticket: As Chaves do Seu Dominio, valide o resultado sob a visao do administrador legitimo e sob a visao do caminho de ataque. Confirme que usuarios e sistemas previstos continuam funcionando e prove ao mesmo tempo que o caminho perigoso nao entrega mais a mesma alavanca. Recolha de novo Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, mudancas em SYSVOL e atividade de certificados, revise aprovacoes e confira se nenhum objeto vizinho preserva uma rota alternativa. A validacao tambem deve incluir criterios de sucesso escritos. Em times maduros, um fix so e aceito quando o caminho de risco desaparece, o servico permanece operacional e o estado final coincide com o objetivo de hardening.
Ownership, escalacao e governanca
Assuntos como Golden Ticket: As Chaves do Seu Dominio falham quando o sintoma tecnico some, mas ninguem possui o controle de longo prazo. Distribua responsabilidades claras entre engenharia de diretorio, analistas SOC, admins de identidade e times de servidores, defina quem aprova excecoes e decida qual time precisa autorizar a reintroducao de um objeto arriscado. Essa governanca nao e burocracia vazia. Ela evita que uma migracao, uma urgencia ou uma integracao de terceiros reabra o mesmo caminho algumas semanas depois. Documente as decisoes que permitiram a fraqueza e atualize o processo ao redor, para que o proximo pedido seja avaliado contra a nova baseline e nao contra um atalho antigo.
Leituras Relacionadas
Vale a pena revisar este tema junto com Ataques Delegacao Kerberos: Nao Restrita a RBCD, Kerberoasting Explicado — Deteccao & Prevencao, Abuso ACL e DCSync: Caminhos para Domain Admin, Ataques Confianca AD: Do Dominio Filho a Raiz e AS-REP Roasting: Coletando Hashes Sem Credenciais. Esses artigos mostram como as mesmas fraquezas de identidade e permissoes costumam se encadear em uma avaliacao real.
- Ataques Delegacao Kerberos: Nao Restrita a RBCD
- Kerberoasting Explicado — Deteccao & Prevencao
- Abuso ACL e DCSync: Caminhos para Domain Admin
- Ataques Confianca AD: Do Dominio Filho a Raiz
- AS-REP Roasting: Coletando Hashes Sem Credenciais
Essas referencias internas ajudam a avaliar o caminho de risco completo e nao apenas um achado isolado.
Continue Reading
Fallback Kerberos RC4 Active Directory: como detectar, porque ainda acontece e como eliminar
CVE-2026-31431 (Copy Fail): o que a vulnerabilidade do kernel Linux afeta e como mitiga-la
