| ID | Name |
|---|---|
| T1550.001 | 黄金票据伪造 |
| T1550.002 | Web会话凭证动态寄生 |
| T1550.003 | 设备指纹自适应令牌生成 |
黄金票据伪造(Golden Ticket Fabrication)是针对Kerberos认证协议设计的高级持久化技术。攻击者通过窃取域控制器密钥分发服务账户(KRBTGT)的NTLM哈希,伪造具备任意权限的Kerberos票据(TGT),突破Kerberos协议的时间戳与域控验证机制。伪造的黄金票据可绕过域内所有资源的访问控制策略,且不受常规票据生命周期限制,实现跨网络分区的隐蔽横向移动。该技术的核心在于突破Kerberos协议的信任链,利用协议设计缺陷构造无法被常规手段检测的合法票据。
该技术的匿迹效果建立在协议层信任劫持与票据特征伪装的双重机制上。首先,攻击者通过域渗透获取KRBTGT账户哈希后,离线生成包含伪造身份信息的TGT票据,规避了Kerberos协议中客户端与KDC的实时交互验证环节。其次,伪造票据使用合法加密密钥签名,使得域内所有服务节点均无法识别其非法性。技术实施过程中需精确构造票据的时间戳、加密类型等元数据字段,确保其符合域策略验证规则。攻击者通过定期更新票据的时间戳和授权数据,维持票据在域内的持续有效性,同时避免触发基于票据过期时间的异常告警。该技术的关键突破点在于脱离对域控制器的持续依赖,使得攻击者即便在域控离线或重置密码后仍能维持域内权限,形成难以清除的隐蔽后门。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon