det0352-detection-strategy-for-t1550003-pass-the-ticket-windows

# DET0352 — Detection Strategy for T1550.003 - Pass the Ticket (Windows) ## Descrição Esta estratégia detecta o ataque Pass-the-Ticket (PtT) em Windows — técnica onde um adversário injeta tickets Kerberos roubados (TGT ou TGS) no cache de credenciais do sistema para autenticar como outro usuário sem conhecer sua senha. A técnica [[T1550.003-pass-the-ticket]] frequentemente segue o roubo de tickets via [[t1558-steal-or-forge-kerberos-tickets|T1558-steal-or-forge-kerberos-tickets]] (Kerberoasting, AS-REP Roasting, ou dump de LSASS). A detecção foca em anomalias no processo de autenticação Kerberos: uso de tickets TGT que não foram solicitados ao KDC na mesma sessão de logon (Event ID 4768 ausente antes de 4769/4770), autenticação de serviço de IP diferente do que solicitou o TGT, e discrepâncias temporais em tickets Kerberos (tempo de expiração inconsistente com políticas do domínio). PtT é uma das técnicas de movimento lateral mais silenciosas pois utiliza mecanismos de autenticação legítimos do Kerberos sem gerar eventos de logon de credenciais tradicionais. A correlação de eventos 4624 (logon), 4768 (TGT request), 4769 (TGS request) e 4770 (TGT renewal) é fundamental. ## Indicadores de Detecção - Event ID 4769 (TGS request) sem Event ID 4768 (TGT request) precedente para o mesmo usuário na sessão - Ticket Kerberos com tempo de vida incompatível com a política do domínio (possível Golden Ticket) - Autenticação Kerberos de endereço IP diferente do associado ao logon do usuário - Uso de `mimikatz kerberos::ptt` detectado por EDR via strings de processo ou comportamento - Injeção de ticket em processo via API `LsaCallAuthenticationPackage` com identificador de logon externo - Múltiplos serviços acessados via Kerberos em sequência rápida a partir de uma única sessão recém iniciada ## Técnicas Relacionadas - [[T1550.003-pass-the-ticket]] — técnica primária - [[t1550-use-alternate-authentication-material|T1550-use-alternate-authentication-material]] — categoria pai - [[t1558-steal-or-forge-kerberos-tickets|T1558-steal-or-forge-kerberos-tickets]] — roubo de tickets que precede PtT - [[T1558.001-golden-ticket]] — Golden Ticket como caso especial de PtT - [[t1021-remote-services|T1021-remote-services]] — acesso a serviços remotos via ticket injetado ## Analytics Relacionadas - [[an1000-analytic-1000|AN1000 — Analytic 1000]] --- *Fonte: [MITRE ATT&CK — DET0352](https://attack.mitre.org/detectionstrategies/DET0352)*