什么是金票攻击以及如何预防？

由于云服务的不断采用以及向远程工作环境的转变，攻击面已经超出了传统范围，员工使用自己的设备和网络登录公司系统。这反过来又增加了攻击者闯入网络并使用金票攻击获取访问权限的风险。简而言之，黄金票证利用了用于访问 Microsoft Active Directory (AD) 的 Kerberos 身份验证协议中的弱点，允许攻击者绕过正常的身份验证过程。

“金票”攻击以罗尔德·达尔的《威利旺卡和巧克力工厂》中的金票命名。在小说/电影中，拥有金票的人将获得终生供应的巧克力，并将由旺卡先生亲自陪同参观工厂。因此，金票攻击是指威胁行为者通过访问 Active Directory 中存储的用户数据，几乎可以无限制地访问组织的域（设备、文件、域控制器等）。

金票攻击如何运作？

Kerberos 身份验证使用 Kerberos 密钥分发中心 (KKDC) 来保护和验证用户的身份。使用该系统的目标是消除用户对多个凭证请求的需要，而是验证用户的身份并向用户分配访问票证。 KKDC 使用票证授予服务器 (TGS)，它将用户连接到相关服务。认证服务器（AS）执行用户的初始认证。如果成功，用户将获得 Kerberos 票证授予票证 (TGT)，它是身份验证的证明。要进行金票攻击，攻击者需要完全合格的域名、域的安全标识符、KRBTGT 密码哈希以及帐户持有者的用户名。攻击者通常会从 Kerberos 数据库中提取经过验证的用户的密码。

如何检测金票攻击？

这个问题没有简单的答案，因为检测金票攻击的最佳方法将根据组织的具体安全状况和配置而有所不同。然而，组织容易受到金票攻击的一些常见迹象可能包括：

• 有人篡改了存储在每个域控制器上的 NTDS.DIT 文件。
• 可疑的登录尝试，例如用户在应该休假的情况下以管理员权限登录计算机。
• 使用 Mimikatz，这是一种用于从内存中提取凭据并执行 DCSync 攻击的工具。

如何防止金票攻击

为了防止金票攻击，监控和审核对 Kerberos 帐户和 Kerberos 票证的访问至关重要。 IT 管理员可以使用组策略管理控制台 (GPMC) 启用 Kerberos 身份验证审核，这使他们能够监视事件以跟踪失败和成功的登录活动。例如，异常大量的失败登录尝试可能表明可能存在暴力攻击。您还应该密切关注以下内容；

• 域控制器活动。
• TGT 请求，包括请求的来源和数量。
• TGT 寿命长。
• 异常的域复制活动。
• 权限的更改，特别是调试权限。

虽然理论上可以手动检查本机服务器日志来识别恶意活动，但建议您使用更复杂的 Active Directory 安全解决方案，这样您可以更清楚地了解您的帐户以及被访问和使用的方式，以及当检测到可疑活动时生成实时警报。

您还必须确保拥有强大的密码策略，或者更好的是，对所有特权帐户使用多重身份验证。此外，建议您将服务票证的最长生命周期设置为 600 分钟，以防止用户在典型登录时间之外访问网络资源。

除了上述预防措施外，您可能还需要考虑；

• 定期更改KRBTGT密码。
• 限制可以访问 KRBTGT 密码哈希的帐户数量。
• 定期扫描您的网络中是否有黄金门票并清除任何发现的门票。
• 确保系统时钟同步。
• 对用户和 IT 员工进行潜在攻击的教育。

如果您想了解 Lepide 数据安全平台如何帮助确保 Active Directory 安全，请与我们的一位工程师安排演示或立即开始免费试用。