# AN0405 — Analytic 0405 ## Descrição Detecta Golden Tickets Kerberos forjados correlacionando tempos de vida anômalos de tickets, tipos de cifragem inesperados (como RC4 em domínios modernos que utilizam AES), campos malformados em eventos de logon/logoff e requisições TGS sem TGT precedente. A telemetria necessária inclui logs de eventos de segurança do Windows (Event IDs 4768, 4769, 4770, 4624), logs Kerberos do controlador de domínio e telemetria de endpoint para correlação entre autenticação e acesso a recursos. Essa detecção é crítica porque Golden Tickets permitem que adversários como [[g0032-lazarus-group]] e [[g0016-apt29]] mantenham acesso persistente a domínios Windows sem necessidade de roubar credenciais repetidamente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1558-001-steal-or-forge-kerberos-tickets-golden-ticket|T1558.001 — Golden Ticket]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1550-003-use-alternate-authentication-material-pass-the-ticket|T1550.003 — Pass the Ticket]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0405](https://attack.mitre.org/detectionstrategies/DET0144#AN0405)*