# T1558.002 - Silver Ticket > [!abstract] Resumo Técnico > **Tática:** Credential Access | **Plataforma:** Windows | **Sub-técnica de:** [[t1558-steal-or-forge-kerberos-tickets|T1558 - Steal or Forge Kerberos Tickets]] > Adversários forjam Kerberos TGS tickets (Service Tickets) sem interagir com o KDC, usando o hash NTLM da conta de serviço alvo. O ataque concede acesso persistente e silencioso a serviços específicos dentro do domínio Active Directory. ## Descrição O **Silver Ticket** é uma técnica de falsificação de tickets Kerberos que permite ao adversário criar um *Ticket Granting Service* (TGS) completamente forjado, sem a necessidade de se comúnicar com o *Key Distribution Center* (KDC). O ataque explora o protocolo Kerberos do Windows Active Directory e representa uma das formas mais silenciosas de persistência e movimentação lateral em ambientes corporativos. Para executar o ataque, o adversário precisa obter o **hash NTLM** (ou a chave AES derivada) da conta de serviço alvo - por exemplo, a conta de serviço do Microsoft SQL Server, SharePoint, IIS ou qualquer serviço registrado no Active Directory via *Service Principal Name* (SPN). Esses hashes podem ser obtidos por meio de [[t1003-os-credential-dumping|OS Credential Dumping]] (despejo de credenciais do sistema operacional) ou via [[t1558-003-kerberoasting|Kerberoasting]], que extrai tickets de serviço para crackear offline. Com o hash em mãos, o atacante utiliza ferramentas como [[mimikatz|Mimikatz]] ou [[s1071-rubeus|Rubeus]] para forjar o TGS localmente. O ticket gerado contém os grupos de segurança e privilégios desejados pelo atacante, podendo inclusive incluir permissões elevadas que o usuário legítimo não possui. Como o TGS é assinado com a chave do serviço (e não com a chave do KDC), a válidade do ticket não é verificada centralmente - tornando o ataque práticamente invisível para monitoramento baseado apenas em logs do Domain Controller. A principal diferença em relação ao [[t1558-001-golden-ticket|Golden Ticket]] está no escopo: enquanto o Golden Ticket concede acesso irrestrito ao domínio inteiro (por forjar o TGT usando o hash da conta `krbtgt`), o Silver Ticket limita-se ao serviço específico alvo. Isso, paradoxalmente, pode tornar o Silver Ticket **mais difícil de detectar**, pois o tráfego gerado não passa pelo KDC e não gera eventos de autenticação no Domain Controller. ## Como Funciona O protocolo Kerberos funciona em três etapas: autenticação no KDC (AS-REQ/AS-REP), solicitação de ticket de serviço (TGS-REQ/TGS-REP), e apresentação ao serviço (AP-REQ). O Silver Ticket pula as duas primeiras etapas, pulando diretamente para a apresentação do ticket forjado ao serviço. **Passos detalhados do ataque:** 1. **Reconhecimento:** O atacante identifica serviços de interesse no domínio via enumeração de SPNs. Ferramentas como `setspn -Q */*` ou BloodHound mapeiam serviços registrados. 2. **Obtenção do hash:** O hash NTLM da conta de serviço é extraído via `lsadump::dcsync` (Mimikatz), despejo do LSASS, ou craqueamento offline de tickets Kerberoastados. 3. **Forjá do ticket:** Usando o hash e o SID do domínio, o adversário cria um TGS forjado que inclui os grupos de segurança e PAC (*Privilege Attribute Certificaté*) desejados. 4. **Importação e uso:** O ticket é injetado na sessão de memória do processo (`kerberos::ptt`) e utilizado para acessar o serviço alvo com os privilégios declarados no PAC forjado. 5. **Persistência:** O ticket forjado pode ter válidade estendida (até 10 anos ou mais), garantindo acesso persistente mesmo após a troca de senha da conta de serviço - exceto se o hash mudar. **Serviços frequentemente visados:** - `CIFS/` - acesso a compartilhamentos de arquivo (SMB) - `HTTP/` - acesso a aplicações web internas (SharePoint, Intranet) - `MSSQLSvc/` - acesso ao SQL Server - `HOST/` - acesso remoto via RDP/WinRM - `LDAP/` - operações no Active Directory ## Attack Flow ```mermaid graph TB A[Comprometimento Inicial<br/>Valid Account / Phishing] --> B[Reconhecimento Interno<br/>Enumeração de SPNs no domínio] B --> C{Método de obtenção\ndo hash} C -->|Kerberoasting| D[Extração de TGS tickets<br/>e crackear offline] C -->|Credential Dump| E[Dump do LSASS<br/>ou DCSync] D --> F[Hash NTLM da conta<br/>de serviço obtido] E --> F F --> G[Forjá do Silver Ticket<br/>Mimikatz / Rubeus] G --> H[Injeção do ticket<br/>na sessão atual] H --> I{Serviço alvo} I -->|CIFS| J[Acesso a compartilhamentos SMB] I -->|MSSQLSvc| K[Acesso ao SQL Server] I -->|HTTP| L[Acesso ao SharePoint / IIS] J --> M[Exfiltração de dados<br/>Movimentação lateral] K --> M L --> M M --> N[Persistência de longo prazo<br/>Ticket válido por anos] ``` ## Exemplos de Uso ### Caso 1: Comprometimento de SQL Server Financeiro Em campanhas de espionagem contra organizações financeiras brasileiras, grupos APT obtiveram o hash da conta de serviço do SQL Server via DCSync após comprometer um controlador de domínio secundário. Com o Silver Ticket forjado para `MSSQLSvc/`, os atacantes mantiveram acesso às bases de dados transacionais por meses, exfiltrando registros de clientes de forma silenciosa. ### Caso 2: Movimento Lateral via SMB O [[mimikatz|Mimikatz]] implementa a geração de Silver Tickets nativamente via o módulo `kerberos::golden` com o parâmetro `/service:cifs`. Em ataques de ransomware documentados, operadores de [[lockbit|LockBit]] utilizaram Silver Tickets para CIFS como alternativa ao Pass-the-Hash quando políticas de rede bloqueavam autenticação NTLM, garantindo acesso aos compartilhamentos para deploy do payload. ### Caso 3: Persistência em Ambientes com MFA Silver Tickets contornam MFA porque a autenticação Kerberos ocorre em nível de ticket - o ticket forjado já carrega os atributos de autorização. Em ambientes onde MFA foi implementado para logins interativos mas não para serviços Kerberos, o acesso via Silver Ticket permanece funcional mesmo após o usuário habilitar segundo fator. ### Ferramentas utilizadas | Ferramenta | Comando / Módulo | Finalidade | |---|---|---| | [[mimikatz\|Mimikatz]] | `kerberos::golden /service:cifs /rc4:<hash>` | Forjá de Silver Ticket | | [[s1071-rubeus\|Rubeus]] | `silver /service:<SPN> /rc4:<hash> /ptt` | Forjá e injeção do ticket | | [[s0363-empire\|Empire]] | Módulo `credentials/silver_ticket` | Automação pós-exploração | | [[s0677-aadinternals\|AADInternals]] | Forjá de tokens em ambientes híbridos | Ataques em Azure AD integrado | | Impacket | `ticketer.py` | Forjá via Python (Linux) | ## Detecção A detecção de Silver Tickets é desafiadora porque o tráfego não passa pelo KDC. As principais fontes de detecção são: análise de anomalias no servidor de serviço alvo, monitoramento de eventos Kerberos locais, e análise do conteúdo do PAC. **Indicadores-chave:** - Eventos Kerberos sem correspondente TGT no KDC (ausência de evento 4768/4769 no DC para o mesmo usuário) - PAC com grupos de segurança anômalos (grupos com alto privilégio para contas de serviço comuns) - Timestamps impossíveis: tickets com `renew-till` muito distante do futuro (sinal de forjá) - Uso de criptografia RC4-HMAC quando o ambiente está configurado para AES exclusivamente ```yaml title: Kerberos Silver Ticket - Acesso a Serviço sem TGT Correspondente status: experimental logsource: product: windows service: security detection: selection_service_ticket: EventID: 4624 AuthenticationPackageName: "Kerberos" LogonType: 3 filter_has_tgt: # Correlação: verificar se há evento 4768/4769 recente do mesmo usuário # Ausência do evento 4768 indica possível Silver Ticket SubjectUserName|contains: "quot; condition: selection_service_ticket and not filter_has_tgt level: high tags: - attack.credential_access - attack.t1558.002 falsepositives: - Serviços que usam S4U2Self (service-for-user) - Kerberos constrained delegation legítimo ``` ```yaml title: Mimikatz - Criação de Silver Ticket via Linha de Comando status: experimental logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - "kerberos::golden" - "/service:" - "/rc4:" - "/ptt" condition: selection level: critical tags: - attack.credential_access - attack.t1558.002 ``` **Fontes de dados recomendadas:** - Windows Security Event Log (Event IDs: 4624, 4625, 4768, 4769, 4770) - Netflow/EDR para tráfego Kerberos (porta 88/TCP e UDP) - Active Directory audit logs - serviço de PAC válidation - SIEM com correlação temporal entre TGT e TGS ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Senhas longas (>25 caracteres) para contas de serviço tornam crackear o hash impraticável. Usar Managed Service Accounts (gMSA) que rotacionam automaticamente. | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Princípio do menor privilégio para contas de serviço. Auditar SPNs registrados e remover os desnecessários. Usar Group Managed Service Accounts (gMSA). | | M1041 | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Habilitar criptografia AES-256 para todos os tickets Kerberos. Desabilitar RC4-HMAC no domínio força uso de AES, dificultando a forjá com hashes obtidos. | **Controles adicionais recomendados:** - Habilitar **Protected Users Security Group** para contas de alto privilégio - impede uso de RC4 e limita delegação - Ativar **PAC Validation** no servidor de serviço (registro `ValidateKdcPacSignature = 1`) - Implementar **Kerberos Armoring (FAST)** para autenticação reforçada - Rotacionar senhas de contas de serviço periodicamente - inválida tickets forjados com hashes antigos - Monitorar e limitar uso do **DCSync** (`DS-Replication-Get-Changes-All`) ## Contexto Brasil/LATAM O Silver Ticket tem sido observado em incidentes contra o setor [[_sectors|financeiro]] e de [[government|governo]] no Brasil, onde a ampla adoção de Active Directory cria superfície de ataque significativa. Análises de grupos como [[g1017-volt-typhoon|Volt Typhoon]] e grupos de ransomware que operam na América Latina indicam uso frequente de técnicas de forjá Kerberos como vetor de movimentação lateral e persistência. **Contexto operacional LATAM:** - Muitas organizações brasileiras de médio porte ainda operam com criptografia RC4-HMAC habilitada para compatibilidade com sistemas legados, facilitando a forjá de tickets - Ambientes de governo federal utilizam AD extensivamente para autenticação em sistemas críticos como SEI, SIAFI e portais de serviço público - A adoção crescente de ambientes híbridos (AD + Azure AD / Entra ID) amplia o escopo - o [[s0677-aadinternals|AADInternals]] permite forjá de tokens em contextos híbridos **Grupos com presença documentada no Brasil que utilizam técnicas relacionadas:** - Grupos de ransomware como LockBit e ALPHV/BlackCat têm utilizando Mimikatz extensivamente em ataques a organizações brasileiras - APT41 e grupos affiliados com nexo China-Espionagem têm sido detectados em setores de telecomúnicações e energia na LATAM usando técnicas de forjá Kerberos - Grupos de crime financeiro locais têm incorporado ferramentas de pós-exploração que incluem Silver Ticket em seus arsenais **Recomendação prioritária para o Brasil:** Auditoria imediata de SPNs registrados no domínio (`setspn -Q */*`), migração de contas de serviço para gMSA/sMSA, e habilitação de logging detalhado de eventos Kerberos no SIEM. ## Software Associado - [[s1071-rubeus|Rubeus]] (ferramenta) - [[s0677-aadinternals|AADInternals]] (ferramenta) - [[mimikatz|Mimikatz]] (ferramenta) - [[s0363-empire|Empire]] (ferramenta) ## Referências - [MITRE ATT&CK - T1558.002 Silver Ticket](https://attack.mitre.org/techniques/T1558/002) - [Microsoft - Kerberos Authentication Overview](https://docs.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview) - [Sean Metcalf - Kerberos Silver Tickets](https://adsecurity.org/?p=2011) - [Harmj0y - A Guide to Attacking Domain Trusts](http://www.harmj0y.net/blog/redteaming/a-guide-to-attacking-domain-trusts/) - [CISA - Detecting and Mitigating Active Directory Compromises](https://www.cisa.gov/resources-tools/resources/detecting-and-mitigating-active-directory-compromises) - [[t1558-steal-or-forge-kerberos-tickets|T1558 - Steal or Forge Kerberos Tickets]] (técnica pai) - [[t1558-001-golden-ticket|T1558.001 - Golden Ticket]] (técnica relacionada) - [[t1558-003-kerberoasting|T1558.003 - Kerberoasting]] (vetor de obtenção de hash) - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] (vetor complementar) --- *Fonte: [MITRE ATT&CK - T1558.002](https://attack.mitre.org/techniques/T1558/002)*