det0522-detect-kerberos-ticket-theft-or-forgery-t1558

# DET0522 — Detect Kerberos Ticket Theft or Forgery (T1558) ## Descrição O roubo e falsificação de tickets Kerberos ([[t1558-steal-or-forge-kerberos-tickets|T1558]]) representa uma das técnicas mais críticas de escalada de privilégio e movimentação lateral em ambientes Active Directory. As variantes incluem Golden Ticket (forjá de TGT usando o hash da conta KRBTGT), Silver Ticket (forjá de TGS para serviços específicos), AS-REP Roasting (captura de hashes de contas sem pré-autenticação) e Kerberoasting (captura de TGS para contas de serviço para cracking offline). Grupos avançados como [[g0016-apt29|APT29]], [[g0032-lazarus-group|Lazarus Group]] e operadores de ransomware como [[lockbit|LockBit]] utilizam essas técnicas rotineiramente para obter acesso privilegiado persistente. A detecção requer monitoramento detalhado dos logs de autenticação do Windows (Event IDs 4768, 4769, 4770, 4771, 4776) no Domain Controller. Golden Tickets geram autenticações com campos suspeitos como tempo de vida anormalmente longo (>10h), uso de algoritmos de criptografia desatualizados (RC4 quando AES é padrão) ou contas inexistentes no AD. Kerberoasting é detectável pelo volume anormal de requisições TGS para contas de serviço com SPNs, especialmente de hosts que normalmente não fazem essas requisições. A implementação de honeypot accounts com SPNs configurados mas sem uso legítimo é uma técnica eficaz de detecção — qualquer requisição TGS para essas contas indica atividade de Kerberoasting. O monitoramento do [[_data-sources|Active Directory]] com ferramentas como Microsoft Defender for Identity (MDI) ou similares provê visibilidade essencial sobre ataques Kerberos em tempo real. ## Indicadores de Detecção - Event ID 4769 com EncryptionType 0x17 (RC4) em ambiente que utiliza AES como padrão - Múltiplas requisições TGS (Event ID 4769) de um único host para contas de serviço distintas em curto período (Kerberoasting) - Event ID 4768 para contas sem pré-autenticação Kerberos habilitada de hosts não-autorizados (AS-REP Roasting) - Uso de ticket com LifeTime superior a 10 horas ou com data de emissão inconsistente com o relógio do DC - Ferramenta `klist` sendo executada por processos não-administrativos ou scripts suspeitos - Acesso ao processo LSASS com `mimikatz`-like dump (OpenProcess com PROCESS_VM_READ em `lsass.exe`) ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] — técnica principal coberta por esta estratégia - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] — dump de credenciais do LSASS relacionado - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] — uso de tickets roubados para autenticação - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso de contas de serviço para Kerberoasting - [[t1021-remote-services|T1021 — Remote Services]] — movimentação lateral usando tickets forjados ## Analytics Relacionadas - [[an1443-analytic-1443|AN1443 — Analytic 1443]] - [[an1444-analytic-1444|AN1444 — Analytic 1444]] - [[an1445-analytic-1445|AN1445 — Analytic 1445]] --- *Fonte: [MITRE ATT&CK — DET0522](https://attack.mitre.org/detectionstrategies/DET0522)*