ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1097

术语表: /attack/glossary

票据传递

票据传递 (PtT) 是一种利用 Kerberos 票据对系统进行身份验证的方法,无需访问帐户密码。Kerberos 身份验证可以作为横向移动到远程系统的第一步。 该技术利用凭据转储 (Credential Dumping) 获取有效帐户 (Valid Account) 的有效 Kerberos 票据。可以获得用户的服务票据或 Ticket Granting Ticket (TGT),这取决于访问级别。服务票据允许访问特定的资源,而 TGT 可用于从票据授权服务 (TGS) 请求服务票据来访问用户有权访问的任何资源。 可以为使用 Kerberos 作为身份验证机制的服务获取白银票据,这些服务用于生成票据来访问特定的资源和拥有资源的系统(例如 SharePoint)。可以使用密钥分发服务 (Key Distribution Service) 帐户 KRBTGT 帐户的 NTLM 散列为域获取黄金票据,该散列允许为活动目录 (Active Directory) 中的任何帐户生成 TGT。­

缓解

监视域中异常的凭据登录。 限制跨系统的凭证重叠,以防止凭证泄露的危害。 确保本地管理员帐户具有复杂且唯一的密码。 不允许用户作为多个系统的本地管理员。 限制域管理帐户权限,只允许域控制器和有限的服务器具有其权限。 将其他管理功能委托给不同的帐户。

为了消除以前生成的黄金票据的影响,请两次重置内置的 KRBTGT 帐户密码,这将使使用 KRBTGT 散列及其派生的其他 Kerberos 票据创建的任何现有黄金票据无效。

尝试识别和阻止可能用于获取 Kerberos 票证的未知或恶意软件,并在适当情况下使用白名单 工具(如 AppLocker, 或软件限制策略 )对它们进行身份验证。

检测

审计所有 Kerberos 身份验证和凭据使用事件并检查是否存在差异。 与其他可疑活动(如编写和执行二进制文件)相关的异常远程身份验证事件可能表明存在恶意活动。 在 KRBTGT 密码重置两次之后使用黄金票据,在域控制器上会生成事件 ID 4769,如缓解部分中所述。 状态码 0x1F 表示由于“解密字段的完整性校验失败”导致操作失败,并表示先前无效的黄金票据被滥用。