Расскажите о атаке Golden Ticket. В чем суть и страшность этой атаки?

Golden Ticket — это тип атаки в инфраструктуре Kerberos, при которой злоумышленник получает полный контроль над системой аутентификации.

Суть атаки:

• В Kerberos есть ключевой компонент — Ticket Granting Ticket (TGT), который выдается контроллером домена и позволяет получать сервисные билеты.
• Если злоумышленник получает доступ к ключу Kerberos (обычно это ключ учетной записи krbtgt в Active Directory), он может создавать поддельные TGT — так называемые "золотые билеты".
• С этими билетами злоумышленник может аутентифицироваться как любой пользователь, включая администратора, и получать доступ ко всем ресурсам домена без ограничения.

Почему это страшно:

• Атака практически неотслеживаема, так как билеты выглядят легитимно.
• Позволяет получить полный контроль над инфраструктурой.
• Требует длительного времени для обнаружения и устранения.

Для защиты важно регулярно менять ключ krbtgt, использовать мониторинг подозрительной активности и ограничивать права доступа.