Golden Ticket/Silver Ticket

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche


Mit Golden Ticket/Silver Ticket werden Angriffsformen bezeichnet, die insbesondere beim Einbruch in moderne Windows-Netzwerke eingesetzt werden. Da in aktuellen Windows-Netzwerken das neue Standard-Authentifizierungsverfahren Kerberos eingesetzt wird, welches Pass-the-Hash-Angriffe fast unmöglich macht, wurden von Hackern nun diese Schwachstellen ermittelt. Dabei berechtigen ausgestellte Kerberos-Tickets, im Gegensatz zu NTLM-Hashs in älteren Windows-Netzwerken, eigentlich nur den zeitlimitierten Zugriff für bestimmte Dienste. Golden Tickets/Silver Tickets berechtigen dagegen zum unbegrenzten Erstellen weiterer Tickets.

Um ein Golden Ticket zu erzeugen, wird der Hash-Wert des Systemaccounts krbtgt benötigt. Ein Angreifer kann den Hash bei einem erfolgreichen Angriff auf einen Domain Controller (per Python Kerberos Exploitation Kit - PyKEK) oder aus einem (ungesicherten) Backup extrahieren. Damit kann dann ein Kerberos-Langzeit-Ticket, das einen Account als Mitglied mehrerer Administratoren-Gruppen (z.B. Domain Controller) ausweist, erstellt werden. Das Tool Mimikatz in der Version 2.0 unterstützt diesen Vorgang.

Bei einem Silver Ticket konzentriert der Hacker sich nicht auf ein Ticket Granting Ticket (TGT), sondern eine sekundäre Anmeldeinformation wie ein Service-Ticket (ST).

Das Tool Mimikatz soll durch die die angeblich russische APT-Gruppe SOFACY (auch APT28, Fancy Bear, PawnStorm oder Strontium genannt) beim Angriff auf die Bundestagsverwaltung im Frühjahr 2015 eingesetzt worden sein.


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 2. Januar 2017 um 10:15 Uhr von Oliver Wege geändert.

Anzeigen