# T1550.003 - Pass the Ticket
> [!danger] Técnica de Alta Criticidade
> **Tática:** Defense Evasion / Lateral Movement | **Plataforma:** Windows | **Versão MITRE:** 16.2
> Pass the Ticket permite movimentação lateral sem credenciais em texto claro, tornando-a uma das técnicas mais silenciosas em ambientes Active Directory.
## Técnica Pai
Esta é uma sub-técnica de [[t1550-use-alternate-authentication-material|T1550 - T1550 - Use Alternaté Authentication Material]].
## Descrição
**Pass the Ticket (PtT)** é uma técnica onde adversários roubam tickets Kerberos válidos da memória de sistemas comprometidos e os reutilizam para autenticar em outros recursos da rede - sem jámais precisar da senha do usuário legítimo. Diferente de [[t1550-002-pass-the-hash|Pass the Hash]], que opera no nível NTLM, o PtT explora diretamente o protocolo de autenticação [[kerberos|Kerberos]], que é o padrão em ambientes [[active-directory|Active Directory]] modernos.
O ataque se baseia no fato de que tickets Kerberos são armazenados na memória do processo LSASS (Local Security Authority Subsystem Service) e podem ser extraídos por processos com privilégios suficientes. Uma vez extraídos, esses tickets podem ser injetados em outras sessões ou processos, concedendo acesso transparente a qualquer recurso que o usuário legítimo poderia acessar.
Esta técnica é frequentemente combinada com [[t1003-os-credential-dumping|OS Credential Dumping]] para obter os tickets iniciais, e com [[t1021-remote-services|Remote Services]] para efetuar o movimento lateral subsequente. Grupos como [[g0016-apt29|APT29]], [[g0050-apt32|APT32]] e [[g0060-bronze-butler|BRONZE BUTLER]] utilizam PtT como parte central de suas cadeias de ataque pós-comprometimento.
## Como Funciona
O protocolo Kerberos opera com dois tipos principais de tickets, cada um com vetores de abuso distintos:
**Ticket Granting Ticket (TGT):**
- Emitido pelo Key Distribution Center (KDC) após autenticação inicial
- Permite solicitar tickets de serviço (TGS) para qualquer recurso
- Criptografado com a chave do account `KRBTGT` do domínio
- **Golden Ticket:** TGT forjado usando o hash NTLM ou chave AES do `KRBTGT` - concede acesso irrestrito a todo o domínio por até 10 anos se não revogado
**Ticket Granting Service (TGS) / Service Ticket:**
- Emitido para acesso a um serviço específico (ex: CIFS, HTTP, MSSQL)
- Criptografado com a chave da conta de serviço
- **Silver Ticket:** TGS forjado usando o hash da conta de serviço - acesso limitado a um serviço específico, mais difícil de detectar por não passar pelo KDC
**Fluxo de execução típico:**
1. Comprometer um endpoint com acesso privilegiado (local admin ou SYSTEM)
2. Usar [[mimikatz|Mimikatz]] (`sekurlsa::tickets /export`) ou [[s1071-rubeus|Rubeus]] para exportar tickets da memória LSASS
3. Transferir os arquivos `.kirbi` para a máquina do atacante ou injetar diretamente
4. Importar o ticket na sessão atual (`kerberos::ptt ticket.kirbi`) ou criar um Golden/Silver Ticket
5. Acessar recursos remotos autenticados como o usuário legítimo (`dir \\servidor\compartilhamento`)
**"Overpass the Hash"** é uma variante que converte um hash NTLM em um ticket Kerberos válido, permitindo ao adversário autenticar via Kerberos mesmo tendo apenas o hash NTLM da conta.
## Attack Flow
```mermaid
graph TB
A["Comprometimento Inicial<br/>(phishing / exploit)"] --> B["Escalada de Privilégios<br/>(local admin / SYSTEM)"]
B --> C["Acesso ao LSASS<br/>(SeDebugPrivilege)"]
C --> D{"Tipo de Extração"}
D --> E["Export de Tickets<br/>Mimikatz / Rubeus<br/>sekurlsa::tickets"]
D --> F["Dump de Credenciais<br/>(NTLM hashes / AES keys)"]
E --> G{"Tipo de Ataque"}
F --> G
G --> H["Pass the Ticket<br/>(TGT/TGS existente)"]
G --> I["Golden Ticket<br/>(hash KRBTGT)"]
G --> J["Silver Ticket<br/>(hash service account)"]
G --> K["Overpass the Hash<br/>(NTLM → Kerberos)"]
H --> L["Injeção do Ticket<br/>kerberos::ptt"]
I --> L
J --> L
K --> L
L --> M["Movimentação Lateral<br/>Acesso a Recursos"]
M --> N["Exfiltração de Dados<br/>/ Objetivos Finais"]
style A fill:#c0392b,color:#fff
style I fill:#8e44ad,color:#fff
style J fill:#8e44ad,color:#fff
style L fill:#e67e22,color:#fff
style N fill:#2c3e50,color:#fff
```
## Exemplos de Uso
### APT29 (Cozy Bear) - Operações de Espionagem
O [[g0016-apt29|APT29]], grupo de espionagem russo atribuído ao SVR, emprega PtT extensivamente em operações de longa duração dentro de redes governamentais e de defesa. O grupo utiliza o malware [[s0053-seaduke|SeaDuke]] em conjunto com ferramentas como [[mimikatz|Mimikatz]] para extrair tickets Kerberos após comprometer workstations administrativas. Em campanhas documentadas contra agências europeias, o APT29 manteve acesso persistente por meses usando Golden Tickets - mesmo após redefinições de senha de contas comprometidas, o KRBTGT não havia sido rotacionado.
### APT32 (OceanLotus) - Campanhas contra LATAM
O [[g0050-apt32|APT32]], grupo vietnamita com foco em empresas da ASEAN e LATAM, utiliza PtT como técnica central de movimento lateral em redes corporativas. O grupo combina [[s0154-cobalt-strike|Cobalt Strike]] com módulos de extração de tickets para se mover lateralmente entre segmentos de rede. Em ataques documentados contra empresas brasileiras dos setores automotivo e manufatureiro, o APT32 usou Overpass the Hash para elevar privilégios sem triggerar alertas de Pass the Hash no SIEM.
### BRONZE BUTLER (Tick) - Espionagem Industrial
O [[g0060-bronze-butler|BRONZE BUTLER]], grupo APT jáponês com foco em espionagem industrial, integra PtT em suas cadeias de ataque usando a ferramenta [[s0192-pupy|Pupy RAT]]. O grupo é conhecido por explorar contas de serviço com senhas fracas para forjar Silver Tickets, acessando bancos de dados e servidores de arquivos com alta fidelidade e baixo ruído.
### Ferramentas Comuns
| Ferramenta | Uso Principal | Detecção |
|-----------|--------------|----------|
| [[mimikatz\|Mimikatz]] | `kerberos::ptt`, `sekurlsa::tickets` | Regras YARA, assinaturas AV |
| [[s1071-rubeus\|Rubeus]] | Extração e injeção de tickets .NET | Eventos Sysmon, anomalias de processo |
| [[s0154-cobalt-strike\|Cobalt Strike]] | `steal_token`, módulos Kerberos | Beacons C2, padrões de rede |
| [[s0357-impacket\|Impacket]] | `getTGT.py`, `getST.py` | Logs Kerberos no KDC |
## Detecção
### Indicadores de Comprometimento
Os principais indicadores de PtT no ambiente são anomalias nos logs do protocolo Kerberos:
- **Evento 4768** (TGT Request): Requisições de TGT de máquinas que nunca autenticaram aquele usuário
- **Evento 4769** (TGS Request): Requisições de service tickets incomuns (horário, origem, frequência)
- **Evento 4771** (Kerberos Pre-authentication Failed): Tentativas repetidas de autenticação
- **Evento 4624** (Logon): Logons do tipo 3 (Network) sem evento 4768 precedente (ticket injetado)
- **Golden Ticket**: Tickets com lifetime > 10 horas ou com `rc4_hmac` encryption quando AES já está habilitado
- **Silver Ticket**: Autenticação em serviço sem correspondente TGS no log do KDC
### Regra Sigma - Golden Ticket Detection
```yaml
title: Kerberos Golden Ticket Indicators
id: e4a96dfd-667b-4e72-8b65-1f712e4e3b9e
status: stable
description: >
Detecta possível uso de Golden Ticket via eventos Kerberos anômalos.
Foca em TGTs com lifetime incomum ou criptografia RC4 em ambiente AES.
author: RunkIntel
daté: 2026-03-25
tags:
- attack.defense_evasion
- attack.lateral_movement
- attack.t1550.003
logsource:
product: windows
service: security
detection:
selection_4769:
EventID: 4769
TicketEncryptionType: '0x17' # RC4-HMAC - suspeito se AES habilitado
TicketOptions: '0x40810000'
selection_4768_anomaly:
EventID: 4768
TicketEncryptionType: '0x17'
IpAddress|not: '127.0.0.1'
filter_legit:
AccountName|endswith: '