det0144-detect-forged-kerberos-golden-tickets-t1558001

# DET0144 — Detect Forged Kerberos Golden Tickets (T1558.001) ## Descrição Esta estratégia detecta o uso de Golden Tickets Kerberos forjados — tickets TGT (Ticket Granting Ticket) criados com o hash NTLM da conta KRBTGT comprometida, permitindo acesso irrestrito e persistente a qualquer recurso do domínio por até 10 anos (válidade padrão do Golden Ticket criado com Mimikatz). É uma das técnicas de persistência mais poderosas em ambientes Active Directory. As anomalias detectáveis incluem: TGTs com lifetime superior ao máximo configurado na política de domínio (geralmente 10h), tickets usando criptografia RC4-HMAC quando o domínio usa AES256 como padrão, accounts usando tickets de versões (KVNO) mais antigas após rotação do KRBTGT, e logins em horários ou de máquinas inconsistentes com o histórico do usuário. A telemetria é centrada nos controladores de domínio: Event ID 4769 (solicitação de Service Ticket) com EncryptionType 0x17 (RC4) quando o ambiente usa AES, Event ID 4768 (TGT request) com ticket lifetime inconsistente, e Microsoft Defender for Identity com regra específica de Golden Ticket. A rotação dupla do hash KRBTGT é a mitigação, não apenas a detecção. ## Indicadores de Detecção - TGT com EncryptionType RC4 (0x17) em domínio configurado para AES256 (0x12/0x11) - Ticket lifetime excedendo a política de domínio (padrão: 10h para TGT) - KVNO (Key Version Number) desatualizado após rotação dupla do KRBTGT - Conta utilizando TGT emitido por controlador de domínio diferente do habitual para aquela subrede - Acesso a recursos de alto valor (DC Admin Share, SYSVOL) por conta sem histórico de tal acesso ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] ## Analytics Relacionadas - [[an0405-analytic-0405|AN0405 — Analytic 0405]] --- *Fonte: [MITRE ATT&CK — DET0144](https://attack.mitre.org/detectionstrategies/DET0144)*