Pass the Ticket: Use of Alternate Authentication Material - Pass the Ticket (T1550.003)

La simulazione di Pass the Ticket inizia con l'estrazione dei ticket Kerberos dal sistema target. Su Windows, il comando classico con Mimikatz prevede prima l'elevazione dei privilegi.

mimikatz # privilege::debug
mimikatz # sekurlsa::tickets /export

Questa sequenza esporta tutti i ticket disponibili nella sessione corrente. I file .kirbi generati contengono i ticket che possono essere riutilizzati per l'autenticazione.

Per iniettare un ticket rubato in una nuova sessione, il comando diventa:

mimikatz # kerberos::ptt ticket.kirbi

Pupy offre un approccio più automatizzato attraverso il suo modulo integrato. Dopo aver stabilito una sessione, l'operatore può eseguire direttamente il pass the ticket senza interazione manuale con strumenti esterni.

La creazione di Golden Ticket richiede l'hash NTLM dell'account KRBTGT del dominio. Una volta ottenuto attraverso DCSync o altro metodo di credential dumping:

mimikatz # kerberos::golden /domain:target.local /sid:S-1-5-21-... /krbtgt:hashvalue /user:Administrator /ticket:golden.kirbi

Questo genera un TGT valido per qualsiasi utente del dominio, garantendo accesso illimitato per la durata configurata del ticket.

Per Silver Ticket specifici a singoli servizi, la sintassi cambia leggermente. L'hash necessario è quello dell'account computer che ospita il servizio target:

mimikatz # kerberos::golden /domain:target.local /sid:S-1-5-21-... /target:server.target.local /service:cifs /rc4:computeraccounthash /user:fakeuser /ticket:silver.kirbi

L'overpassing the hash combina Pass the Hash con la generazione di ticket Kerberos validi. Partendo da un hash NTLM, si può ottenere un TGT legittimo:

mimikatz # sekurlsa::pth /user:victim /domain:target.local /ntlm:hashvalue

Questa tecnica apre una nuova finestra di comando con le credenziali specificate, permettendo richieste Kerberos autentiche.

La detection efficace di Pass the Ticket richiede correlazione avanzata tra eventi Kerberos apparentemente legittimi. Il pattern chiave sta nell'identificare richieste di ticket di servizio (EventCode 4769) che mancano del corrispondente logon interattivo (EventCode 4624) o della richiesta TGT precedente (EventCode 4768).

Configurate le regole SIEM per rilevare sequenze anomale nell'autenticazione Kerberos. Un ticket di servizio richiesto senza TGT preliminare indica spesso injection diretta. La finestra temporale di correlazione dovrebbe essere di 5-10 secondi per catturare comportamenti legittimi ma evidenziare anomalie.

Monitorate attentamente l'accesso a LSASS attraverso Sysmon. Gli eventi di process access (EventID 10) verso lsass.exe da processi non standard segnalano potenziali tentativi di estrazione o injection di ticket. Filtrate i processi di sistema noti per ridurre il rumore.

L'analisi comportamentale deve includere il monitoraggio di autenticazioni Kerberos fuori orario o da host inusuali. Un account di servizio che improvvisamente richiede ticket per workstation utente rappresenta un'anomalia significativa.

Create baseline per i pattern di autenticazione normali per account privilegiati. Le deviazioni, come un domain admin che accede a sistemi mai toccati prima, dovrebbero generare alert ad alta priorità.

Per gestire i falsi positivi, implementate whitelist dinamiche basate su orari lavorativi e gruppi di sistemi. Gli script di automazione legittimi generano pattern prevedibili che possono essere esclusi dopo validazione.

Il tuning ottimale prevede l'aggiustamento di LSASSAccessAnomalyThreshold per bilanciare sensibilità e rumore. Iniziate con soglie conservative e affinate basandovi sui pattern del vostro ambiente specifico.

L'analisi forense di Pass the Ticket richiede l'esame dettagliato dei log di sicurezza Windows. Gli eventi chiave risiedono nel Security Event Log, con particolare attenzione alla sequenza temporale degli eventi Kerberos.

Iniziate identificando tutti gli EventCode 4769 (richieste TGS) nell'intervallo temporale sospetto. Correlate ogni richiesta con il corrispondente EventCode 4768 (richieste TGT) per identificare ticket iniettati senza autenticazione preliminare.

La memoria di lsass.exe contiene artefatti critici. Un dump della memoria del processo può rivelare ticket Kerberos attivi anche dopo che l'attaccante ha coperto le proprie tracce nei log. Tools come WinPmem permettono l'acquisizione sicura per analisi offline.

APT32 ha dimostrato pattern specifici nelle loro operazioni. Cercate sequenze di autenticazioni Kerberos che attraversano rapidamente multiple workstation, tipicamente con intervalli di 2-5 minuti tra hop successivi.

L'analisi del registro può rivelare artefatti di esecuzione di strumenti. Cercate chiavi di registro create da Mimikatz sotto HKEY_CURRENT_USER\Software\Classes, spesso con nomi casuali ma timestamp correlati all'attività sospetta.

Per ricostruire la timeline completa, incrociate i ticket Kerberos con i log di accesso alle condivisioni di rete (EventCode 5140). Questo rivela quali risorse l'attaccante ha effettivamente acceduto usando i ticket rubati.

Gli artefatti di prefetch possono confermare l'esecuzione di tool di credential dumping. Analizzate i file .pf per mimikatz.exe, rubeus.exe o eseguibili rinominati con hash corrispondenti.

APT29 utilizza Pass the Ticket come componente centrale delle loro operazioni di lateral movement. Il gruppo preferisce mantenere persistenza attraverso Golden Ticket piuttosto che backdoor tradizionali, rendendo la detection basata su anomalie Kerberos critica per identificare le loro campagne.

APT32 implementa la tecnica in modo più opportunistico. Osservazioni sul campo mostrano che il gruppo estrae ticket durante le prime fasi post-compromissione per mappare rapidamente l'infrastruttura target prima di selezionare obiettivi di alto valore.

BRONZE BUTLER si distingue per l'uso sistematico di ticket contraffatti per mantenere l'accesso amministrativo. Il gruppo crea multiple versioni di Golden e Silver Ticket con parametri temporali estesi, garantendo accesso anche dopo password reset parziali.

L'overlap negli strumenti utilizzati è significativo. Tutti e tre i gruppi hanno mostrato familiarità con Mimikatz, suggerendo training comune o condivisione di TTP all'interno di ecosistemi di threat actor specifici. La presenza di SeaDuke nelle operazioni di APT29 indica capacità custom di implementazione della tecnica.

I pattern geografici mostrano concentrazione di questi gruppi in operazioni contro settori governativi e defense contractors. APT29 focalizza su target diplomatici europei, mentre APT32 predilige organizzazioni nel Sud-Est asiatico.

Le previsioni indicano evoluzione verso tecniche di evasione più sofisticate. L'integrazione di Pass the Ticket con tecniche di process injection avanzate e l'uso di ticket con parametri temporali randomizzati per evadere detection basate su anomalie temporali rappresentano trend emergenti.

Tecnica documentata nel framework MITRE ATT&CK con riferimenti dettagliati alle campagne di APT29, APT32 e BRONZE BUTLER. Risorse di detection basate su correlazione di Event ID Windows e pattern analysis per Kerberos authentication anomalies.