# T1558 - Steal or Forge Kerberos Tickets
## Descrição
**T1558 - Steal or Forge Kerberos Tickets** é uma técnica de alto impacto na tática de **Credential Access** que engloba um conjunto de métodos pelos quais adversários subvertem o protocolo de autenticação **Kerberos** para obter acesso não autorizado a serviços e sistemas em ambientes Windows Active Directory.
O Kerberos é o protocolo de autenticação padrão em domínios Windows desde o Windows 2000. Ele opera em um modelo de três partes - cliente, serviço e **Key Distribution Center (KDC)** - onde o KDC emite tickets criptografados que provam a identidade do cliente ao serviço requisitado. A confiança fundamental do sistema depende da segurança das chaves criptográficas mantidas pelo KDC e pelas contas de serviço.
Adversários que comprometem componentes críticos desse modelo - especialmente a conta **KRBTGT** (responsável por assinar todos os Ticket Granting Tickets) ou contas de serviço com SPNs registrados - podem forjar tickets com válidade estendida, permissões elevadas e sem correspondência no banco de dados real do Active Directory. Isso cria um vetor de **persistência quase impossível de detectar e revogar** sem medidas específicas.
Esta técnica é coberta por cinco sub-técnicas distintas, cada uma explorando um aspecto diferente da implementação do Kerberos:
| Sub-técnica | Método | Impacto |
|---|---|---|
| [[t1558-001-golden-ticket\|T1558.001 - Golden Ticket]] | Forjá TGT usando hash KRBTGT | Acesso total ao domínio - persistência máxima |
| [[t1558-002-silver-ticket\|T1558.002 - Silver Ticket]] | Forjá TGS usando hash de conta de serviço | Acesso a serviços específicos |
| [[t1558-003-kerberoasting\|T1558.003 - Kerberoasting]] | Crack offline de tickets TGS | Obtenção de senhas de service accounts |
| [[t1558-004-as-rep-roasting\|T1558.004 - AS-REP Roasting]] | Crack offline de AS-REP sem pré-autenticação | Senhas de contas sem pré-auth Kerberos |
| [[t1558-005-ccache-files\|T1558.005 - Ccache Files]] | Roubo de arquivos ccache (Linux/macOS) | Reutilização de tickets em sistemas Unix |
> **Nota:** No Windows, o utilitário nativo `klist` permite listar e inspecionar tickets Kerberos em cache, útil tanto para diagnóstico legítimo quanto para reconhecimento por adversários.
---
## Como Funciona
### O Protocolo Kerberos - Base para os Ataques
Para compreender os ataques, é essencial entender o fluxo legítimo do Kerberos:
1. **AS-REQ / AS-REP:** O cliente solicita um Ticket Granting Ticket (TGT) ao KDC, provando sua identidade com sua chave secreta (derivada da senha). O KDC responde com um TGT criptografado com a chave do KRBTGT.
2. **TGS-REQ / TGS-REP:** O cliente apresenta o TGT ao KDC e solicita um Ticket de Serviço (TGS/ST) para um serviço específico. O KDC válida o TGT e emite um TGS criptografado com a chave da conta de serviço.
3. **AP-REQ / AP-REP:** O cliente apresenta o TGS ao serviço para autenticação. O serviço decripta o TGS com sua própria chave e verifica a identidade do cliente.
### Como Cada Sub-técnica Explora o Protocolo
**Golden Ticket (T1558.001):** O adversário que obtém o hash NTLM da conta KRBTGT (via DCSync, dumping de NTDS.dit ou comprometimento do DC) pode forjar TGTs com qualquer identidade, PAC (Privilege Attribute Certificaté) arbitrário e válidade de até 10 anos. Esses tickets são assinados com a chave real do KRBTGT, portanto são completamente válidos para todos os serviços do domínio.
**Silver Ticket (T1558.002):** Semelhante ao Golden Ticket, mas forjá apenas um TGS para um serviço específico usando o hash da conta de serviço alvo. Não passa pelo KDC para válidação, portanto não gera logs de autenticação no DC - muito mais silencioso.
**Kerberoasting (T1558.003):** Qualquer usuário autenticado no domínio pode solicitar TGS para qualquer Service Principal Name (SPN) registrado. O TGS é criptografado com o hash da conta de serviço. O adversário exporta o ticket e o processa offline com ferramentas como Hashcat ou John the Ripper para recuperar a senha em texto claro.
**AS-REP Roasting (T1558.004):** Contas configuradas com "Do not require Kerberos preauthentication" retornam um AS-REP que pode ser capturado e quebrado offline sem necessidade de autenticação prévia no domínio.
**Ccache Files (T1558.005):** Em sistemas Linux e macOS integrados ao Active Directory via SSSD ou Winbind, os tickets Kerberos são armazenados em arquivos ccache (normalmente em `/tmp/krb5cc_<UID>`). O adversário com acesso root pode copiar esses arquivos e utilizá-los em outro sistema para autenticação sem senha - equivalente ao Pass-the-Ticket em ambientes Unix.
---
## Attack Flow
```mermaid
graph TB
A[🎯 Acesso Inicial ao Domínio<br/>Conta de usuário comum] --> B[🔍 Reconhecimento de Kerberos<br/>Enumerar SPNs, contas sem pré-auth]
B --> C{Estrategia de Ataque}
C -- Usuário com SPN --> D[🦴 Kerberoasting<br/>Solicitar TGS para SPN]
C -- Conta sem pré-auth --> E[🔥 AS-REP Roasting<br/>Capturar AS-REP sem autenticar]
C -- Hash KRBTGT comprometido --> F[🏆 Golden Ticket<br/>Forjar TGT com KRBTGT hash]
C -- Hash de serviço comprometido --> G[🥈 Silver Ticket<br/>Forjar TGS para serviço específico]
C -- Acesso root em Linux/macOS --> H[📁 Ccache Theft<br/>Copiar arquivos /tmp/krb5cc_*]
D --> I[💻 Crack Offline<br/>Hashcat / John the Ripper]
E --> I
I --> J[🔑 Senha de Service Account<br/>Em texto claro]
J --> K[🔄 Pass the Ticket<br/>T1550.003]
F --> K
G --> K
H --> K
K --> L[🏢 Movimento Lateral<br/>Acesso a servidores / compartilhamentos]
L --> M[👑 Escalada de Privilégios<br/>Domain Admin / Enterprise Admin]
M --> N[💥 Objetivo Final<br/>Ransomware / Exfiltração / Persistência]
```
---
## Exemplos de Uso
### Akira Ransomware - Exploração de Active Directory
O grupo de ransomware [[g1024-akira|Akira]], ativo desde 2023 com foco em empresas de médio porte na América do Norte e Europa, tem documentado uso extensivo de técnicas Kerberos em sua cadeia de ataque. Após acesso inicial via VPN sem MFA, o grupo realiza Kerberoasting para obter credenciais de service accounts com privilégios elevados, usando ferramentas como [[s1071-rubeus|Rubeus]] e [[s0357-impacket|Impacket]]. A partir dessas credenciais, o grupo escalona privilégios até Domain Admin e então distribui o payload de ransomware via Group Policy Objects (GPOs).
### APT29 (Cozy Bear) - Golden Ticket em operações de espionagem
O grupo [[g0016-apt29|APT29]], atribuído ao SVR russo, tem histórico bem documentado de uso de Golden Tickets em campanhas de longa duração. Na operação SolarWinds (2020-2021), após comprometimento inicial da plataforma Orion, o grupo utilizou técnicas Kerberos para manter acesso persistente a ambientes de vítimas por meses sem ser detectado. O Golden Ticket permite que o adversário mantenha acesso mesmo após resets de senhas de usuários, pois o ticket forjado não depende da senha atual da conta.
### Lazarus Group - Kerberoasting em operações financeiras
O grupo [[g0032-lazarus-group|Lazarus Group]] (norte-coreano, APT38) documentadamente utiliza Kerberoasting em ataques ao setor financeiro para obter credenciais de service accounts com acesso a sistemas de pagamento, SWIFT e plataformas de transferência bancária. Contas de serviço de sistemas bancários frequentemente têm senhas fracas e SPNs registrados, tornando-as alvos ideais para Kerberoasting.
### Comprometimentos de Active Directory no Brasil (2024-2025)
Incidentes reportados pelo CERT.br e investigados por empresas como Tempest Security Intelligence e Cipher documentaram o uso de Kerberoasting em ataques contra empresas dos setores de energia, telecomúnicações e logística no Brasil. Em vários casos, service accounts com acesso a sistemas ERP (SAP, TOTVS Protheus) possuíam SPNs registrados e senhas de dicionário configuradas há anos, sendo comprometidas em menos de 24 horas após o início do ataque.
---
## Detecção
### Indicadores comportamentais
- Volumes anormais de requisições TGS-REQ para múltiplos SPNs por uma única conta em curto período (indicativo de Kerberoasting automatizado)
- Requisições AS-REQ para contas com pré-autenticação desabilitada a partir de IPs incomuns
- Tickets Kerberos com campos PAC inconsistentes ou valores de tempo fora do padrão
- Uso de algoritmos de criptografia fracos (RC4-HMAC em vez de AES256) em tickets para contas que suportam AES
- Tickets com duração anormalmente longa (Golden Tickets frequentemente têm válidade de anos)
- Criação de novos tickets a partir de sistemas que normalmente não geram tráfego Kerberos
### Regra Sigma - Kerberoasting Detection
```yaml
title: Kerberoasting - Excessive TGS Requests for Service Accounts
status: experimental
description: Detecta requisições excessivas de TGS-REQ para SPNs distintos - padrão típico de Kerberoasting automatizado
logsource:
product: windows
service: security
detection:
selection:
EventID: 4769
TicketEncryptionType: "0x17"
ServiceName|endswith:
- "
quot;
filter_computer:
ServiceName|endswith: "quot;
timeframe: 10m
condition: selection and not filter_computer | count(ServiceName) by SubjectUserName > 5
fields:
- SubjectUserName
- ServiceName
- ClientAddress
- TicketEncryptionType
level: high
tags:
- attack.credential_access
- attack.t1558.003
falsepositives:
- Serviços legítimos solicitando múltiplos tickets (ex: aplicações de monitoramento)
```
### Regra Sigma - Golden Ticket Detection
```yaml
title: Golden Ticket - Anomalous Kerberos Ticket Properties
status: experimental
description: Detecta uso de Golden Ticket identificando tickets com campos PAC ausentes ou anomalias em timestamps
logsource:
product: windows
service: security
detection:
selection:
EventID: 4769
TicketOptions:
- "0x40810010"
- "0x40810000"
anomaly_duration:
TicketEncryptionType: "0x17"
suspicious_source:
IpAddress|startswith:
- "::ffff:"
condition: selection
fields:
- SubjectUserName
- ServiceName
- IpAddress
- TicketEncryptionType
- TicketOptions
level: critical
tags:
- attack.credential_access
- attack.t1558.001
```
### Fontes de log prioritárias
| Fonte | Eventos-chave | Observações |
|---|---|---|
| Windows Security Log (DC) | EventID 4769 (TGS), 4768 (TGT), 4771 (Kerberos pre-auth failed) | Habilitar auditoria de Kerberos no GPO |
| Windows Security Log (DC) | EventID 4672 (Special privileges assigned) | Correlacionar com tickets suspeitos |
| Microsoft Defender for Identity | Kerberoasting alerts, Golden Ticket alerts | Solução especializada com detection nativa |
| Sysmon | EventID 10 (ProcessAccess para lsass.exe) | Acesso à memória LSASS para dump de tickets |
| Wireshark / NDR | Tráfego Kerberos na rede | Análise de pacotes AS-REQ/TGS-REQ anômalos |
---
## Mitigação
| ID | Mitigação | Descrição |
|---|---|---|
| [[m1015-active-directory-configuration\|M1015]] | Active Directory Configuration | Habilitar configurações de proteção Kerberos: AES256 obrigatório, Kerberos Armoring (FAST), Protected Users security group para contas privilegiadas |
| [[m1043-credential-access-protection\|M1043]] | Credential Access Protection | Habilitar Credential Guard no Windows 10/11 e Windows Server 2016+ para proteger credenciais LSASS com virtualização |
| [[m1041-encrypt-sensitive-information\|M1041]] | Encrypt Sensitive Information | Garantir que todas as contas usem AES256 (não RC4-HMAC) para criptografia de tickets Kerberos - desativar RC4 onde possível |
| [[m1027-password-policies\|M1027]] | Password Policies | Exigir senhas longas (>25 caracteres) e únicas para service accounts - senhas fracas são o principal vetor do Kerberoasting |
| [[m1047-audit\|M1047]] | Audit | Monitorar eventos Kerberos (4768, 4769, 4771) e gerar alertas para padrões anômalos de requisição de tickets |
| [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Usar Group Managed Service Accounts (gMSA) para rotacionar senhas de service accounts automaticamente - elimina o vetor de Kerberoasting por senhas fracas |
**Controles adicionais críticos:**
- **Rotação da senha KRBTGT:** Executar a rotação da senha KRBTGT **duas vezes** consecutivas (necessário para inválidar todos os Golden Tickets existentes) em caso de suspeita de comprometimento. A Microsoft fornece o script `New-KrbtgtKeys.ps1` para isso.
- **Protected Users Security Group:** Adicionar todas as contas privilegiadas ao grupo `Protected Users` - impede uso de RC4, armazenamento de credenciais em memória e delegação Kerberos para essas contas.
- **Princípio do menor privilégio para SPNs:** Auditar regularmente SPNs registrados; remover SPNs desnecessários; garantir que service accounts com SPNs tenham apenas as permissões mínimas necessárias.
- **Microsoft Defender for Identity (MDI):** Solução especializada com detecção nativa de Kerberoasting, Golden Ticket, AS-REP Roasting e outros ataques Kerberos em tempo real.
- **Tiering de Active Directory:** Implementar o modelo de três tiers (Tier 0: DC/CA, Tier 1: Servidores, Tier 2: Workstations) para limitar o impacto de comprometimento de service accounts.
---
## Contexto Brasil/LATAM
O Active Directory é onipresente em empresas de médio e grande porte no Brasil, e sua configuração inadequada cria uma superfície de ataque massiva para técnicas Kerberos:
**Service accounts com senhas fracas:** Auditoria realizada pela Tempest Security Intelligence em 2024 em clientes do setor financeiro brasileiro revelou que mais de 40% das service accounts tinham senhas com menos de 12 caracteres e sem rotação há mais de 2 anos - condição ideal para Kerberoasting bem-sucedido em horas.
**RC4 ainda amplamente utilizado:** A migração para AES256 como padrão de criptografia Kerberos ainda não foi concluída em grande parte das empresas brasileiras, especialmente aquelas com sistemas legados como ERPs (SAP R/3, TOTVS Protheus, Datasul) que dependem de contas de serviço configuradas há décadas.
**Ransomware no Brasil e Kerberos:** Grupos de ransomware ativos no Brasil como [[g1024-akira|Akira]], [[lockbit|LockBit]] (antes do takedown) e [[blackbasta|Black Basta]] têm Kerberoasting como etapa padrão em suas playbooks de comprometimento. A combinação de Kerberoasting + Golden Ticket garante acesso persistente que sobrevive ao desligamento do ransomware e facilita re-infecção.
**Espionagem industrial:** Empresas dos setores de energia (Petrobras e fornecedores), telecomúnicações (Claro, Vivo, TIM) e agronegócio têm sido alvos de grupos de espionagem - presumivelmente patrocinados por estados - que utilizam técnicas Kerberos para manter presença de longa duração em redes corporativas após compromet imento inicial.
**Integração Linux/AD:** Com a crescente adoção de servidores Linux integrados ao Active Directory via SSSD (Red Hat/CentOS) em empresas brasileiras de tecnologia e financeiras, o vetor de roubo de arquivos ccache (T1558.005) ganhou relevância. Servidores de banco de dados Oracle e PostgreSQL frequentemente rodam em Linux com autenticação Kerberos integrada ao AD.
**Grupos ativos com impacto documentado na região:**
- [[g1024-akira|Akira]] - múltiplas vítimas confirmadas no Brasil em 2024-2025 com uso de Kerberoasting
- [[g0032-lazarus-group|Lazarus Group]] - operações financeiras em bancos LATAM com técnicas Kerberos documentadas
- [[g0016-apt29|APT29]] - presença documentada em multinacionais com operações no Brasil
- Grupos de ransomware afiliados ao [[lockbit|LockBit]] com vítimas brasileiras de médio porte
---
## Sub-técnicas
- [[t1558-001-golden-ticket|T1558.001 - Golden Ticket]]
- [[t1558-002-silver-ticket|T1558.002 - Silver Ticket]]
- [[t1558-003-kerberoasting|T1558.003 - Kerberoasting]]
- [[t1558-004-as-rep-roasting|T1558.004 - AS-REP Roasting]]
- [[t1558-005-ccache-files|T1558.005 - Ccache Files]]
## Referências
- [MITRE ATT&CK - T1558](https://attack.mitre.org/techniques/T1558)
- [Microsoft - Kerberos Authentication Overview](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview)
- [Detecting Kerberoasting Activity - Active Directory Security](https://adsecurity.org/?p=3458)
- [Microsoft - Protecting against Golden Ticket attacks](https://learn.microsoft.com/en-us/defender-for-identity/compromised-credentials-alerts)
- [Impacket - GetUserSPNs.py documentation](https://github.com/fortra/impacket)
- [Rubeus - Kerberoasting tooling](https://github.com/GhostPack/Rubeus)
- [CERT.br - Relatório de Incidentes 2024](https://www.cert.br/)
- [Tempest Security Intelligence - Active Directory Security Assessment Brazil 2024](https://www.tempest.com.br/)
**Notas relacionadas:** [[t1550-003-pass-the-ticket|T1550.003 - Pass the Ticket]] · [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] · [[t1110-004-credential-stuffing|T1110.004 - Credential Stuffing]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[g1024-akira|Akira]] · [[g0016-apt29|APT29]] · [[g0032-lazarus-group|Lazarus Group]] · [[m1015-active-directory-configuration|M1015 - AD Configuration]] · [[m1026-privileged-account-management|M1026 - Privileged Account Management]]