Picus Security förklarar Pass-the-Ticket-attacken

Cybersäkerhetsföretaget Picus Security har publicerat en detaljerad analys av "Pass-the-Ticket" (T1550.003) attackteknik. Denna underteknik, som ingår i den bredare MITRE ATT&CK-kategorin "Use Alternate Authentication Material" (T1550), gör det möjligt för angripare att få obehörig åtkomst till nätverk genom att stjäla och återanvända autentiseringsuppgifter.

"Pass-the-Ticket"-attacken fokuserar på Kerberos-autentiseringsprotokollet, som används flitigt i nätverksmiljöer som Active Directory. Angripare kan, ofta med hjälp av verktyg som Mimikatz, extrahera en användares Kerberos Ticket Granting Ticket (TGT) från systemminnet. Med en stulen TGT kan en angripare sedan begära tjänstebiljetter och därmed få obehörig åtkomst till olika system utan att behöva ange lösenord upprepade gånger. Detta möjliggör lateral rörelse inom nätverket och insamling av känslig information.

Picus Securitys analys beskriver attackens genomförande steg för steg, inklusive demonstrationer av hur verktyg som Mimikatz kan användas för att extrahera och exportera Kerberos-biljetter. Dessa biljetter används sedan för att infiltrera det interna nätverket. Företaget noterar att flera offentligt tillgängliga verktyg stödjer dessa typer av attacker.

"Pass-the-Ticket" är ett av flera attackvektorer inom "Use Alternate Authentication Material". Sådana tekniker utgör ett betydande hot eftersom de kringgår många traditionella åtkomstkontrollmekanismer. Experter inom cybersäkerhet rekommenderar organisationer att stärka skyddet och övervakningen av Kerberos-autentiseringar för att effektivt identifiera och motverka dessa attacker.