O que e um Golden Ticket?
Um Golden Ticket e um Ticket Granting Ticket (TGT) Kerberos falsificado que concede a um atacante acesso ilimitado e persistente a todos os recursos de um dominio Active Directory, sem precisar da senha de nenhum usuario.
O ataque abusa da conta KRBTGT, cujo hash e utilizado para assinar cada TGT emitido no dominio. Se um atacante obtiver esse hash, pode fabricar TGTs validos para qualquer usuario, incluindo Administradores de Dominio, com qualquer pertenca a grupos e qualquer data de expiracao.
⚠️ Critico: Um Golden Ticket permanece valido ate que a senha do KRBTGT seja rotacionada duas vezes. Redefinir todas as outras contas do dominio nao tem nenhum efeito.
Como Funciona
A autenticacao Kerberos baseia-se em um terceiro confiavel: o Key Distribution Center (KDC), que e executado em cada Controlador de Dominio.
Fluxo normal:
- Um usuario autentica-se no KDC e recebe um TGT, assinado com o hash do KRBTGT.
- O usuario apresenta o TGT para obter Service Tickets (TGS) para recursos especificos.
- Os servicos validam o TGS e concedem acesso.
Nenhum servico valida os TGTs diretamente no KDC no momento do uso: eles confiam na assinatura. Um TGT falsificado, assinado com o hash real do KRBTGT, e indistinguivel de um legitimo.
A Cadeia de Ataque
Etapa 1 - Obter Privilegios de Domain Admin
O atacante precisa de privilegios suficientes para extrair o hash do KRBTGT, tipicamente comprometendo um Controlador de Dominio ou abusando de direitos de DCSync.
Etapa 2 - Extrair o Hash do KRBTGT via DCSync
# Mimikatz
lsadump::dcsync /domain:corp.local /user:krbtgt
# Impacket (do Linux)
impacket-secretsdump -just-dc-user krbtgt corp.local/admin:[email protected]
Etapa 3 - Falsificar o Golden Ticket
kerberos::golden /user:Administrator /domain:corp.local /sid:S-1-5-21-XXXXXXXXXX /krbtgt:HASH /ptt
| Parametro | Descricao |
|---|---|
/user | Qualquer nome de usuario, real ou ficticio |
/sid | SID do dominio (da saida do DCSync) |
/krbtgt | Hash NTLM da conta KRBTGT |
/endin | Duracao do ticket em minutos — atacantes costumam usar 87600 (10 anos) |
/ptt | Pass-the-ticket: injetar diretamente na sessao atual |
Etapa 4 - Acesso Total e Persistencia
O TGT falsificado e aceito por todos os servicos do dominio. O atacante pode acessar qualquer recurso compartilhado, sessao RDP, criar contas backdoor e distribuir GPOs maliciosas.
Deteccao
Event IDs do Windows
| Event ID | Fonte | O que observar |
|---|---|---|
| 4768 | DC - Security | Solicitacoes de TGT de IPs incomuns ou em horarios anomalos |
| 4769 | DC - Security | Cifrado RC4 (0x17) quando AES e o padrao |
| 4672 | DC - Security | Privilegios especiais atribuidos a contas inesperadas |
| 4624 | Estacao/Servidor | Logon de rede (Tipo 3) de contas sem atividade anterior |
Consulta SIEM (Elastic KQL)
event.code: "4769" AND
winlog.event_data.TicketEncryptionType: "0x17" AND
NOT winlog.event_data.ServiceName: ("krbtgt" OR "*$")
💡 Dica: Aplique cifrado AES exclusivo em seu dominio. Qualquer trafego RC4 torna-se imediatamente um alerta de alta confianca.
Remediacao
⚠️ Pre-requisito: Identifique e contenha o vetor de comprometimento antes de rotacionar o KRBTGT.
Acoes Imediatas
Rotacionar a senha do KRBTGT duas vezes, com um intervalo entre as rotacoes igual ao tempo de vida maximo dos tickets (padrao: 10 horas):
# https://github.com/microsoft/New-KrbtgtKeys.ps1
.\New-KrbtgtKeys.ps1 -Mode ModeSingle
# Aguardar pelo menos 10 horas
.\New-KrbtgtKeys.ps1 -Mode ModeSingle
Reforcamento
| Controle | Descricao |
|---|---|
| Privileged Access Workstations (PAW) | Restringir logons de Domain Admin a estacoes dedicadas |
| Modelo de Administracao em Camadas | Evitar exposicao de credenciais Tier 0 em sistemas Tier 1/2 |
| Grupo Protected Users | Desabilita RC4, NTLM e cache de credenciais |
| Aplicar AES | Definir msDS-SupportedEncryptionTypes = 24 no KRBTGT |
| Auditar direitos DCSync | Alertar sobre contas nao-DC com DS-Replication-Get-Changes-All |
Como o EtcSec Detecta Isso
O EtcSec verifica as condicoes que tornam os ataques Golden Ticket possiveis em seu ambiente.
A deteccao GOLDEN_TICKET_RISK sinaliza ambientes onde a senha da conta KRBTGT nao foi rotacionada recentemente.
Verificacoes relacionadas:
- WEAK_KERBEROS_POLICY - configuracoes permissivas ampliam a janela de exposicao
- KERBEROS_RC4_FALLBACK - RC4 ainda permitido facilita a falsificacao e dificulta a deteccao
- UNCONSTRAINED_DELEGATION - precursor comum dos ataques Golden Ticket
ℹ️ Nota: O EtcSec verifica automaticamente essas vulnerabilidades em cada auditoria AD. Execute uma auditoria gratuita para verificar se seu ambiente esta exposto.
