Cómo defenderse de los ataques del Golden Ticket: Seguridad AD 101

Los ataques Golden Ticket son especialmente astutos. Al igual que Kerberoasting, los ataques Golden Ticket explotan el sistema de autenticación Kerberos y son una de las amenazas más graves para los entornos Active Directory. Aquí encontrará más información sobre este tipo de ataque y cómo puede defender su entorno Active Directory.

¿Qué es un ataque con el Billete Dorado?

Los ataques Golden Ticket utilizan un Ticket de Concesión Kerberos (TGT) falsificado para obtener acceso sin restricciones a servicios o recursos dentro de un dominio Active Directory. A diferencia de los ataques en los que los actores de amenazas descifran tickets existentes, los atacantes de Golden Ticket crean y utilizan tickets falsificados para hacerse pasar por un usuario dentro de la red.

Este truco permite a los atacantes obtener tickets de servicio Kerberos para varios recursos. Los actores de amenazas pueden utilizar esta autoridad no comprobada para infiltrarse en los sistemas de red, eludiendo los controles convencionales de acceso y autenticación.

Antes de entrar en más detalles sobre cómo funcionan estos ataques -y cómo puede defender Active Directory contra ellos- puede que le resulte útil repasar los conceptos básicos de ciberseguridad.

Lectura relacionada: Reducir la superficie de ataque de Active Directory

¿Qué es Kerberos?

Kerberos es el protocolo de autenticación por defecto en Active Directory. Este protocolo de autenticación de red utiliza criptografía de clave secreta y es crucial para garantizar que los usuarios y los servicios puedan confiar unos en otros en un entorno de red. Kerberos utiliza varios tipos de entidades criptográficas, denominadas tickets, para autenticar usuarios o servicios sin enviar contraseñas a través de la red. (Puede obtener más información sobre Kerberos y los tickets Kerberos aquí).

Cuando la autenticación se realiza correctamente, el Centro de Distribución de Claves (KDC) concede al usuario un Ticket Granting Ticket (TGT). Los TGT autorizan a los usuarios a solicitar tickets de servicio que les permiten acceder a aplicaciones como servidores de archivos o bases de datos.

¿Qué es la cuenta KRBTGT?

La cuenta KRBTGT, una cuenta de usuario integrada en Active Directory, desempeña un papel fundamental en el protocolo de autenticación Kerberos. La contraseña de la cuenta es generada por el sistema y no se cambia automáticamente.

El KDC utiliza la cuenta KRBTGT en cada controlador de dominio (DC) para cifrar los TGT con el hash NTLM de esa cuenta. Cuando un usuario solicita un vale de servicio para acceder a un recurso, el KDC utiliza este hash para validar el TGT presentado. En otras palabras, el hash de contraseña de la cuenta KRBTGT se utiliza para firmar todos los vales Kerberos del dominio.

La cuenta KRBTGT está deshabilitada a efectos de inicio de sesión y debe permanecer así. El propósito de la cuenta es únicamente facilitar la autenticación Kerberos dentro del dominio de Active Directory. Proteja la cuenta KRBTGT. El compromiso de la cuenta puede provocar graves violaciones de la seguridad, incluidos los ataques Golden Ticket.

¿Qué es Mimikatz?

Mimikatz es una potente utilidad de código abierto, creada por Benjamin Delpy. Desarrolló la herramienta para experimentar con la seguridad de Windows y comprender mejor cómo se almacenan y transmiten las credenciales de Windows a través de la red.

Sin embargo, Mimikatz se hizo rápidamente famoso en la comunidad de ciberseguridad debido a su potente capacidad para explotar varias vulnerabilidades de seguridad de Windows. Muchas de estas vulnerabilidades giran en torno a cómo Windows gestiona la autenticación y las credenciales en memoria.

Mimikatz es experto en extraer de la memoria contraseñas en texto plano, hashes y tickets Kerberos. Esencialmente, la herramienta es una ventanilla única para cualquiera que quiera comprometer las medidas de seguridad de Active Directory. Mimikatz puede extraer credenciales y tickets de autenticación directamente de la memoria RAM, donde a veces se encuentran en texto plano. Mimikatz puede aprovechar estos elementos para eludir los procedimientos típicos de autenticación, permitiendo a los atacantes un amplio acceso dentro de Active Directory.

Mimikatz se utiliza a menudo en situaciones posteriores a la explotación. Una vez que los atacantes consiguen introducirse en la red, suelen intentar escalar sus privilegios o moverse lateralmente para encontrar objetivos de alto valor.

¿Cómo funcionan los ataques del Billete Dorado?

En un ataque Golden Ticket, el atacante utiliza una herramienta como Mimikatz para extraer el hash de la contraseña del KRBTGT. El atacante puede utilizar este hash para cifrar un TGT Kerberos falsificado, dándole cualquier acceso o tiempo de vida que elija. El atacante utiliza el hash para "demostrar" al KDC que el vale es válido. Este vale TGT falsificado permite al atacante acceder sin restricciones a cualquier servicio o recurso dentro de un dominio de Active Directory.

Los ataques Golden Ticket implican varios pasos complejos. Estos ataques requieren sofisticación y conocimiento del funcionamiento interno tanto de Active Directory como de la autenticación Kerberos. Veamos los pasos principales de un ataque Golden Ticket.

1. Infiltración de dominios. En esta fase inicial, el atacante encuentra la forma de entrar en la red de su organización. El objetivo principal es establecer un punto de apoyo dentro de la red. A continuación, se puede llevar a cabo un reconocimiento detallado para comprender la topología de la red e identificar objetivos lucrativos. La infiltración puede orquestarse a través de una serie de estrategias, entre las que se incluyen:
   • Aprovechamiento de vulnerabilidades conocidas del sistema
   • Campañas de spear phishing dirigidas a empleados desprevenidos
2. Escalada de privilegios. Tras la infiltración, el atacante se centra en aumentar sus privilegios dentro de la red. Esta fase suele implicar una serie de tácticas para adquirir gradualmente derechos elevados. El objetivo final es conseguir privilegios de administrador de dominio. Estos derechos abren la puerta al núcleo de su entorno Active Directory. Con privilegios de administrador de dominio, el atacante tiene los permisos necesarios para iniciar sesión en un DC, dirigirse a la base de datos de Active Directory (archivo NTDS.dit) y utilizar potentes herramientas como Mimikatz para lograr sus objetivos.
3. Compromiso del hash KRBTGT. En este punto crucial, el atacante compromete la cuenta KRBTGT de su dominio. Mediante el uso de una herramienta como Mimikatz para extraer el hash KRBTGT, un atacante que ha ganado los derechos de administrador de dominio puede utilizar Mimikatz para cosechar los datos hash de la memoria del sistema o la base de datos NTDS.DIT AD. Después de comprometer el hash KRBTGT, el atacante puede manipular el mecanismo de autenticación en su beneficio.
4. Creación de TGT. Con el hash KRBTGT en su poder, el atacante crea TGTs-"Golden Tickets" para cualquier cuenta de usuario dentro del dominio, incluyendo aquellas con privilegios administrativos de dominio. Estos TGTs tienen credenciales fabricadas pero están firmados con el hash KRBTGT legítimo, haciéndolos parecer genuinos al servicio Kerberos. El atacante tiene ahora acceso prácticamente ilimitado a todo el dominio. Puede hacerse pasar por cualquier usuario y establecer propiedades de ticket favorables, incluyendo duraciones de vida excesivamente largas, asegurando la persistencia en su entorno.
5. Generación de tickets de servicio. La etapa final del ataque Golden Ticket consiste en generar tickets de servicio a partir de los TGT fraudulentos. Utilizando los TGT falsificados, el atacante puede solicitar tickets de servicio para cualquier servicio disponible en el dominio, sin necesidad de autenticación adicional. El atacante obtiene así un pase libre para acceder a cualquier recurso de la red sin ser detectado. Pueden generar continuamente tickets de servicio válidos que permiten un amplio movimiento lateral, la exfiltración de datos y un mayor atrincheramiento en sus sistemas de red.

¿Cómo defenderse de los ataques del Billete Dorado?

Puede ver que los ataques Golden Ticket suponen una amenaza persistente y sigilosa para su organización. Ciertas herramientas y estrategias pueden ayudarle a mitigar y defenderse de estos ataques perniciosos:

• Supervisar la actividad de los tickets de Kerberos
• Auditoría de Active Directory y registros del sistema
• Implantar herramientas de seguridad para puntos finales
• Utilizar Credential Guard
• Administrar cuidadosamente la contraseña de la cuenta KRBTGT
• Aplicar el principio del menor privilegio
• Adoptar herramientas y estrategias eficaces de detección y respuesta a las amenazas contra la identidad (ITDR).

Exploremos estos métodos.

Supervisar la actividad anómala de tickets Kerberos

Vigile la actividad en torno a los tickets Kerberos dentro de su red. Examine regularmente las propiedades y los patrones de uso de estos tickets. Esto puede ayudarle a detectar irregularidades que podrían indicar un ataque Golden Ticket. Por ejemplo, preste atención a tickets con duraciones inusualmente largas o tickets que conceden privilegios inesperados.

Auditoría de Active Directory y registros del sistema

Comprobación activa y rutinaria del Directorio Activo y de los registros del sistema para detectar actividades sospechosas como:

• Escalada inesperada de privilegios
• Manipulaciones de fichas
• Lectura de la memoria del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS)

Detectar accesos inusuales o la manipulación de credenciales almacenadas puede ayudarle a contrarrestar a los atacantes en una fase temprana del ciclo de vida del ataque.

Implantar herramientas de seguridad para puntos finales

Las plataformas de protección de puntos finales (EPP) y las herramientas de detección y respuesta de puntos finales (EDR) identifican y bloquean las firmas de herramientas maliciosas. Estas plataformas también pueden detectar comportamientos inusuales que podrían indicar el vertido de credenciales, un acto que se observa con frecuencia en las primeras etapas de un ataque Golden Ticket.

Implantar Credential Guard

Credential Guard, una función de los sistemas Windows modernos, utiliza la seguridad basada en la virtualización para aislar los datos confidenciales. La función restringe el acceso a estos datos únicamente al software privilegiado del sistema. Este paso puede disuadir significativamente a los atacantes al impedirles acceder a la memoria LSASS para recuperar credenciales.

Gestionar la contraseña de la cuenta KRBTGT

Cambie la contraseña de la cuenta KRBTGT dos veces seguidas para evitar que Kerberos recuerde las dos últimas contraseñas. Este paso puede ayudar a invalidar los hashes robados, haciéndolos inútiles para crear Golden Tickets.

Aplicar el privilegio mínimo

El modelo de mínimo privilegio asigna el mínimo acceso o permisos a usuarios y sistemas. En resumen: limitar los derechos a sólo lo que es esencial para que los usuarios o sistemas desempeñen su papel o función. Supervise de cerca las actividades de las cuentas privilegiadas y aborde con prontitud cualquier desviación de los patrones habituales.

Adoptar soluciones ITDR avanzadas

Las soluciones capaces de detectar patrones de uso de Golden Ticket pueden acelerar la detección de ataques. Cuanto antes detecte posibles ataques, antes podrá responder y mitigar los daños.

Estas soluciones utilizan algoritmos y el reconocimiento de patrones para identificar cuándo se están utilizando billetes dorados en la red. Por ejemplo, Purple Knight y Semperis Directory Services Protector ( DSP) buscan indicadores de exposición (IOE) e indicadores de compromiso (IOC) relacionados con la explotación de Kerberos. Mejor aún, DSP puede automatizar la reversión de actividades sospechosas en Active Directory hasta que puedan ser revisadas y verificadas como legítimas.

Proteger Active Directory contra los ataques del Golden Ticket

La audacia y eficacia del ataque Golden Ticket son preocupantes. Los atacantes pueden utilizar este ataque no sólo para entrar en su entorno, sino también para convertirse en superusuarios capaces de una amplia manipulación de la red bajo el radar. Pueden acceder a datos confidenciales, modificar permisos de usuario o ejecutar tareas malintencionadas, todo ello aparentando ser una entidad de red legítima.

Si conoce los pasos de un ataque Golden Ticket, podrá estar mejor preparado para este tipo de amenazas. La infiltración inicial y la escalada de privilegios son precursoras de las devastadoras últimas fases del ataque. Otra precaución: Asegúrese de mantener una copia de seguridad dedicada de Active Directory, desacoplada del sistema operativo, para defenderse de la perseverancia del malware en caso de que necesite recuperar AD en el peor de los casos.

Las empresas deben estar alerta. Los protocolos de seguridad rigurosos, la supervisión continua de la superficie de ataque de Active Directory y la formación pueden ayudar a los equipos de TI y seguridad a reconocer los primeros signos de un ataque Golden Ticket y otros exploits centrados en Kerberos.