Attaque Kerberos : comment lutter contre un Golden Ticket ?

golden ticket

L’attaque Golden Ticket, découverte par le chercheur en sécurité Benjamin Delpy, donne au hacker un accès total et complet à l’intégralité de votre domaine. Il s’agit d’un Golden Ticket (« ticket d’or », comme dans Charlie et la chocolaterie) permettant d’accéder à TOUS vos ordinateurs, fichiers, dossiers et contrôleurs de domaines (DC) les plus importants.

Dans certains cas, il se peut que des hackers aient détenu un Golden Ticket pendant plusieurs années, et allez savoir ce qu’ils ont bien pu voler. Ils se sont introduits dans le PC d’un utilisateur, y ont installé mimikatz et le reste appartient à l’histoire.

Comment fonctionne une attaque par Golden Ticket ?

Dans Active Directory, les comptes sont identifiés par un nom d’utilisateur et un mot de passe, ou parfois à partir d’une autre forme d’authentification. L’utilisateur identifié obtient alors un ticket Kerberos qui contient son jeton d’authentification.

Le Golden Ticket est le jeton d’authentification associé au compte KRBTG ; un compte caché spécial dont la mission est de chiffrer tous les jetons d’authentification pour le DC. Ce Golden Ticket peut ensuite utiliser une technique de « Pass-the-hash » pour se connecter à n’importe quel compte, ce qui permet aux pirates de se balader incognito sur le réseau. Combien de données sensibles « verrouillées » avez-vous sur votre réseau ? Sont-elles verrouillées et accessibles uniquement par un utilisateur ayant une accréditation d’Administrateur de domaine ?

Pour créer et utiliser un Golden Ticket, le hacker doit trouver un moyen d’accéder au réseau :

  1. Infecter l’ordinateur cible avec un malware qui lui permettra d’utiliser des comptes utilisateur pour accéder à d’autres ressources réseau (souvent à partir d’un e-mail de phishing ou d’une autre vulnérabilité)
  2. Accéder à un compte ayant des privilèges élevés avec un accès au Contrôleur de domaine (DC).
  3. Se connecter au DC et obtenir via un dump le hachage du mot de passe du compte KRBTG afin de créer le Golden Ticket. Le pirate utilisera mimikatz ou une application de hacking similaire afin d’extraire le hachage du mot de passe à partir d’un dump
  4. Charger ce jeton Kerberos pour toute session et tout utilisateur et accéder à tout ce qui se trouve sur le réseau – toujours en utilisant l’application mimikatz.

L’attaque par Golden Ticket est vraiment astucieuse, mais elle n’est pas facile à réaliser.

How does a Golden Ticket Attack Work

Le point le plus insidieux concernant cette attaque, c’est que vous aurez beau changer le mot de passe du compte KRBTG, le jeton d’authentification restera valide. Vous pouvez reconstruire le DC, mais ce jeton restera valide.

Il est extrêmement difficile de faire le ménage lorsqu’un Golden Ticket a été créé pour votre domaine.

Comment vous défendre contre une attaque par Golden Ticket

Voici la bonne nouvelle : se protéger d’une attaque par Golden Ticket n’est pas très différent que de se protéger de toute autre attaque par malware ou infiltration. Fondamentalement, un hacker doit tout d’abord se procurer un accès privilégié pour créer le Golden Ticket – et plus il lui est difficile de voler de données d’identification, mieux vous serez protégé.

  • Formez les utilisateurs à reconnaître les mauvais liens (et à ne pas cliquer dessus)
  • Appliquez un modèle de moindre privilège
    • Limitez l’accès des utilisateurs à ce dont ils sont réellement besoin
    • Limitez les accès Admin et Administrateur de domaine
    • Utilisez avec modération les comptes Admin et seulement pour des modifications approuvées
  • Installez sur vos terminaux des protections pour empêcher les hackers de charger des modules comme mimikatz.
  • Créez un point d’étranglement pour accéder à votre DC, en ajoutant une couche de protection supplémentaire
    • Créez un serveur de terminal ne pouvant communiquer qu’avec les DC
    • Configurez les DC afin qu’ils n’acceptent des connexions administratives qu’à partir de ce Terminal Server
  • Surveillez les activités sur les fichiers et le comportement des utilisateurs
  • Créez une alerte relative à un comportement connu indiquant des attaques par Golden Ticket

Comment Varonis peut vous aider à détecter et bloquer les attaques par Golden Ticket

Varonis se base sur l’analyse de la sécurité pour détecter et émettre des alertes relatives aux vulnérabilités et aux attaques potentielles. Nos modèles de menace sont conçus pour détecter les activités suspectes et les attaques potentielles en amont, et tout au long de la chaîne du cybercrime.

La première chose que doit faire le pirate est d’infiltrer un compte utilisateur avec un malware lui donnant accès au PC par l’intermédiaire d’un réseau de commande et de contrôle.
Varonis analyse la télémétrie du périmètre et met en corrélation ces données avec celles que nous collectons à partir des Services d’annuaire. Dans ce cas, nous reconnaîtrons la tentative de connexion à un compte utilisateur à partir d’une adresse IP inconnue et située à l’extérieur.
Une équipe de sécurité a largement le temps de supprimer l’outil d’administration à distance (RAT) de l’ordinateur de l’utilisateur et de modifier le mot de passe de ce dernier, et ce bien avant que le hacker n’ait le temps de prendre pied dans votre organisation.

Modèle de menace : comportement anormal : activité en dehors des lieux géolocalisés connus de l’organisation
Comment ça marche : toute activité n’émanant pas des lieux géolocalisés connus déclenchera ce modèle de menace.
Systèmes visés : VPN
Signification : quelqu’un tente de se connecter au réseau via le VPN depuis un nouvel emplacement.

Si le pirate est déjà sur le réseau, un moyen de prendre le contrôle d’un compte privilégié est de lancer une attaque par force brute, que Varonis peut détecter grâce à ce modèle de menace :

Modèle de menace : comportement administrateur anormal : augmentation cumulative du nombre de verrouillages de comptes admin individuels
Comment ça marche : DatAlert détecte les augmentations statistiquement significatives d’événements de verrouillage au fil du temps – et peut identifier une quantité inhabituelle d’événements de verrouillage sur un compte admin en le comparant à son comportement habituel.
Systèmes visés : services d’annuaire
Signification : cela signifie que le compte multiplie les tentatives de connexion sans y parvenir. Il peut s’agir d’une erreur de configuration du mot de passe d’un utilisateur autorisé ou d’une attaque par force brute ou d’un utilisateur externe tentant de deviner le mot de passe. Ce compte est probablement la cible d’une attaque progressive par force brute visant à voler les données d’identification de l’administrateur ou d’interdire l’accès.

Si un pirate tente d’utiliser mimikatz pour commencer à utiliser son Golden Ticket, Varonis envoie une alerte au moment de cette tentative, avant qu’il ne soit trop tard :

Modèle de menace : logiciel d’exploitation créé ou modifié
Comment ça marche : Varonis détecte une opération de création ou de modification d’un fichier figurant dans une liste d’outils de piratage connus (par exemple, mimikatz).
Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, One Drive, Dell FluidFS, Nasuni…
Ce que cela signifie : un pirate a infiltré le réseau et tente de renforcer ses capacités pour se balader incognito et voler des données.

Si un pirate s’est déjà introduit dans le système et qu’il a réussi à créer un Golden Ticket, vous pourrez le repérer lorsqu’il utilisera ce ticket pour se connecter à un compte avec ses privilèges d’accès à la totalité du domaine :

Modèle de menace : attaque « pass-the-ticket » potentielle
Comment ça marche : Varonis a détecté que le compte d’un utilisateur a accédé à une ressource sans authentification. Cela signifie qu’il a contourné le protocole Kerberos et qu’il s’agit peut-être d’une attaque Golden Ticket réussie.
Systèmes visés : services d’annuaire
Ce que cela signifie : un hacker a réussi une attaque pass-the-hash, a pu obtenir un Golden Ticket et se connecte dès maintenant avec ces données d’identification.

Avec ce type de notification immédiate, vous pourrez prendre les mesures nécessaires pour réinitialiser tous les mots de passe, changer nécessairement deux fois celui du KRBTG, invalider tous les jetons d’authentification Kerberos actuels et créer de nouveaux jetons pour vos utilisateurs. Vous pouvez refermer la brèche de sécurité et interdire au hacker l’accès à votre réseau.

Demandez une évaluation gratuite des risques pour identifier vos vulnérabilités potentielles, dont les risques d’attaque par Golden Ticket – et inscrivez-vous pour une démonstration individuelle afin d’apprendre comment détecter un comportement anormal indiquant une attaque en cours, et comment vous défendre contre une attaque par Golden Ticket.