• شروحات الأعضاء

  Golden Ticket

  نشر بواسطة ahmedmohamed1521 في سبتمبر 12, 2024 في 12:20 م

  Golden Ticket هو نوع من الهجمات في بيئة Active Directory، وبيحصل لما المهاجم يسيطر على الحساب اللي بيمتلك صلاحيات عالية زي krbtgt account. الحساب ده هو المسؤول عن إنشاء وتصديق Kerberos tickets.

  لما المهاجم ياخد وصول للحساب ده، بيقدر ينشئ تذاكر Kerberos مزيفة ويدخل بيها على أي جهاز أو خدمة في الـ domain، كأن عنده صلاحيات Domain Admin، بغض النظر عن الحساب اللي بيستخدمه.

  باختصار:

  1. المهاجم بيحصل على الوصول للحساب krbtgt.
  2. بيستخدم الأدوات (زي Mimikatz) لإنشاء Golden Ticket مزيفه.
  3. بيدخل بيه على أي خدمة أو جهاز في الدومين كأنه Domain Admin.

  الخطورة في الهجوم ده إنه بيدي المهاجم صلاحيات عالية بشكل غير محدود، وممكن يستخدمها لوقت طويل جداً من غير ما يتم اكتشافه بسهولة.

  عشان تحمي النظام من النوع ده من الهجمات، لازم تتأكد من:

  تغيير الـ <strong style=”background-color: var(–bb-content-background-color); font-family: inherit; font-size: inherit; color: var(–bb-body-text-color);”>krbtgt password بشكل دوري.

  مراقبة الأنشطة الغريبة في الـ <strong style=”background-color: var(–bb-content-background-color); font-family: inherit; font-size: inherit; color: var(–bb-body-text-color);”>domain.

  استخدام أدوات <strong style=”background-color: var(–bb-content-background-color); font-family: inherit; font-size: inherit; color: var(–bb-body-text-color);”>SIEM لتحليل السجلات واكتشاف الهجمات دي.

  استخدام ids/ips عشان تعمل alert بمجرد ما tool زي mimikatz تشتغل

  ahmedmohamed1521 قام بالرد منذ 6 أيام, 7 ساعات 1 عضو · 0 ردود
• 0 ردود

سجل دخول للرد