# DET0241 — Detect Forged Kerberos Silver Tickets (T1558.002) ## Descrição Esta estratégia detecta Silver Tickets — tickets de serviço Kerberos (TGS) forjados que permitem acesso a serviços específicos sem passar pelo KDC (Key Distribution Center). Diferente do Golden Ticket (que forjá TGTs), o Silver Ticket é criado usando apenas o hash NTLM da conta de serviço alvo, obtido via dumping de credenciais, e não gera logs no DC. A dificuldade na detecção de Silver Tickets é que eles contornam o KDC — o ticket forjado é apresentado diretamente ao serviço. Os indicadores incluem: Service Tickets com campos inconsistentes (ex: PAC ausente ou inválido, timestamps impossíveis), autenticação a serviços por contas sem histórico de acesso, e uso de SIDs ou grupos que não correspondem ao AD. A telemetria requer logging habilitado nos servidores de serviço alvo (não apenas no DC), correlação de eventos de autenticação (Event ID 4624) com dados do AD para válidar consistência de grupos, e monitoramento de PAC válidation failures. ## Indicadores de Detecção - Event ID 4624 no servidor de serviço sem correspondência de Event ID 4768/4769 no DC para o mesmo usuário - Autenticação Kerberos com PAC ausente ou assinatura PAC inválida (requer auditoria no serviço) - Ticket de serviço com lifetime maior que o máximo configurado na política do domínio - Account logon para serviço com SID de grupo inconsistente com o grupo real do usuário no AD - Uso de ferramentas Mimikatz (`kerberos::golden /service`) detectado por EDR ou hash de processo - Autenticação a serviço sensível (MSSQL, CIFS, LDAP) por conta de serviço em horário atípico ## Técnicas Relacionadas - [[T1558.002-silver-ticket|T1558.002 — Silver Ticket]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[T1558.001-golden-ticket|T1558.001 — Golden Ticket]] - [[T1003.001-lsass-memory|T1003.001 — LSASS Memory]] - [[T1550.003-pass-the-ticket|T1550.003 — Pass the Ticket]] ## Analytics Relacionadas - [[an0675-analytic-0675|AN0675 — Analytic 0675]] --- *Fonte: [MITRE ATT&CK — DET0241](https://attack.mitre.org/detectionstrategies/DET0241)*