ataque Golden Ticket se origino con una causa útil, pero desde entonces se han desviado hacia fines más vergonzosos. Su historia comienza con un investigador francés, Benjamin Delpy, que quería sacar a la luz fallos en el Directorio Activo de Microsoft. Delpy desarrolló Mimikatz, un software que permitía a los encargados de las pruebas de penetración recopilar enormes cantidades de datos de usuarios. Mimikatz también contenía herramientas de falsificación para burlar las medidas de cifrado.
ataque Golden Ticket Cómo funciona
En su definición más básica, un ataque de ticket dorado permite a un atacante falsificar y replicar tickets de concesión de tickets (TGT) de Kerberos desde un centro de distribución de claves de Kerberos. Los TGT son creados por Kerberos para conceder acceso temporal a los usuarios que solicitan ciertos archivos potencialmente sensibles. Kerberos es el nombre del protocolo de autenticación de Windows Active Directory. El protocolo Kerberos asegura los TGTs sensibles al tiempo a través de un cifrado hash llamado KRBTGT.
ataque Golden Ticket primer paso
El primer paso en un ataque Golden Ticket es que un actor comprometa un ordenador de la red objetivo, ya sea mediante un ataque de phishing o mediante la manipulación física del dispositivo. Una vez que el ciberdelincuente tiene una puerta abierta a la red, el ataque Golden Ticket puede comenzar pronto.
ataque Golden Ticket ataque efectivo
para que un ataque Golden Ticket sea efectivo, se necesitan cuatro elementos principales. Para un delincuente con experiencia técnica, los tres primeros componentes son fáciles de obtener. El último elemento, sin embargo, es más difícil de obtener.
El nombre de dominio completo (FQDN)
El FQDN es el nombre de dominio completo de un ordenador, host o servidor en Internet y ayuda a identificar su ubicación virtual.
Identificador de seguridad o SID. Un SID identifica cualquier elemento relacionado con la seguridad que puede ser autenticado por Windows.
Un hash de contraseña KRBTGT para convencer a una red o sistema de que el TGT especificado es legítimo. La principal debilidad del sistema Kerberos es que asume automáticamente que cualquier TGT cifrado mediante Kerberos es genuino, lo que permite a los hackers acceder a todos los datos de una red.
¿Cómo pueden los hackers vencer el sistema Kerberos?
Obtener el hash de la contraseña TGT suele ser la parte más difícil de un ataque de ticket dorado. Un atacante puede conseguir el hash de diferentes maneras. Debido a la importancia del hash de la contraseña, el atacante hace un esfuerzo adicional para robarlo. Estos son algunos de los métodos que utilizará un ciberdelincuente.
El software que está detrás del ataque Golden Ticket
Utilizar software antiguo. El software que está detrás del ataque Golden Ticket, Mimikatz, es perfecto para recuperar datos, incluyendo información sensible de acceso. Aunque es una herramienta útil para las pruebas de penetración, también es utilizada por los hackers.
Infiltrar un puesto de trabajo.
Ataque Golden Ticket los peligros
Nunca hay que subestimar lo lejos que están dispuestos a llegar algunos delincuentes para lograr su objetivo, incluido el espionaje en el lugar de trabajo. Una vez que un usuario ha obtenido los derechos de administrador por razones legítimas o irrumpiendo en la oficina, puede acceder a la unidad y buscar las credenciales ocultas tras los derechos de administrador.
ataque Golden Ticket El archivo NTDS.DIT.
Encuentra el archivo NTDS.DIT. Se trata de una base de datos en la que se almacenan todos los hash de las contraseñas de los usuarios de un determinado dominio. Esta base de datos es un tesoro de información de identificación para los hackers decididos, y una copia del archivo se encuentra en cada controlador de dominio.
Una vez en posesión del hash de la contraseña, el ciberdelincuente puede acceder a todos los archivos cifrados que desee – de ahí el término “ticket dorado”, que hace referencia a la libertad que puede ofrecer un TGT hackeado.
¿Cómo protegerse de los ataques Golden Ticket?
Cuando se trata de protegerse contra un ataque del Boleto Dorado, no es necesario utilizar una herramienta o software de ciberseguridad específico. En su lugar, se trata de una serie de comportamientos y hábitos que es necesario recordar. Aunque no existe un método concreto para evitar por completo los ataques del Billete Dorado, hay una serie de formas de reducir el riesgo de ser el objetivo de un ataque de este tipo.