T1550.003
Pass the Ticket
Pass the Ticketتوضیحات
مهاجمان از Kerberos ticketهای سرقت شده برای احراز هویت استفاده میکنند. با استفاده از Golden Ticket یا Silver Ticket، مهاجمان میتوانند ticketهای Kerberos جعلی ایجاد کنند که به آنها دسترسی گستردهای میدهد.
روشهای شناسایی
نظارت بر استفاده از Kerberos ticketهای غیرعادی. شناسایی Golden Ticket و Silver Ticket. بررسی ticketهای با مدت اعتبار غیرعادی. تحلیل لاگهای Kerberos.
روشهای مقابله
تغییر منظم رمز عبور KRBTGT. استفاده از Windows Defender Credential Guard. پیادهسازی Protected Users group. نظارت بر Kerberos. استفاده از MFA.
تکنیک اصلی
T1550Use Alternate Authentication Material
استفاده از مواد احراز هویت جایگزین
مهاجمان از مواد احراز هویت جایگزین مانند hash رمز عبور، Kerberos ticket، application access token و web session cookie برای حرکت جانبی و دور زدن کنترلهای دسترسی استفاده میکنند.
سایر زیرتکنیکها (1)