Picus Security selittää Pass-the-Ticket-hyökkäyksen

Kyberturvallisuusyritys Picus Security on julkaissut yksityiskohtaisen analyysin Pass-the-Ticket (T1550.003) -hyökkäystekniikasta. Tämä tekniikka, joka kuuluu MITRE ATT&CK -kehikossa laajempaan "Use Alternate Authentication Material" -strategiaan (T1550), mahdollistaa hyökkääjille pääsyn verkkoihin varastamalla ja uudelleenkäyttämällä suojattuja Kerberos-lippuja.

Pass-the-Ticket-hyökkäys keskittyy Kerberos-todennusprotokollaan, jota käytetään laajalti verkkoympäristöissä kuten Active Directoryssä. Hyökkääjät voivat siepata käyttäjän Kerberos Ticket Granting Ticketin (TGT) muistista, usein Mimikatz-työkalulla. TGT:n avulla hyökkääjä voi pyytää palvelulippuja ja saada luvattoman pääsyn eri järjestelmiin ilman salasanojen syöttämistä uudelleen. Tämä mahdollistaa liikkuvuuden verkon sisällä ja arkaluonteisten tietojen keräämisen.

Picus Securityn analyysi kuvaa hyökkäyksen toteutusta vaihe vaiheelta. Se sisältää esimerkkejä siitä, kuinka työkaluja kuten Mimikatz voidaan käyttää Kerberos-lippujen kaappaamiseen ja viemiseen. Tämän jälkeen hyödynnetään näitä lippuja sisäverkkoon tunkeutumiseen. Yritys korostaa, että useat julkisesti saatavilla olevat työkalut tukevat tämänkaltaisia hyökkäyksiä.

Pass-the-Ticket on yksi monista "Use Alternate Authentication Material" -hyökkäysvektoreista. Tämänkaltaiset tekniikat ovat merkittäviä uhkia, sillä ne ohittavat monet perinteiset pääsynvalvontamekanismit. Kyberturvallisuusasiantuntijat kehottavat organisaatioita parantamaan Kerberos-todennusten suojausta ja valvontaa tunnistaakseen ja torjuakseen tällaisia hyökkäyksiä tehokkaasti.