Eğer BT Güvenlik işi ile uğraşıyor ya da ilgileniyorsanız Golden Ticket denilen yöntemi mutlaka duymuşsunuzdur. Duymamış olanlar için ise Golden Ticket bir saldırgan tarafından ortamınızın şifreleme ana anahtarını ele geçirilmesinin ardından manuel olarak oluşturulan Kerberos Ticket’ına verilen isimdir. Bu Golden ticket ile saldırgan ortamınızdaki herhangi bir kullanıcıyı, bir rolü, yetkiyi istediği zaman ve sistem içerisinde taklit edebilir.
Golden Ticket saldırılarını tespit etmek oldukça güçtür ama peki neler yapabiliriz? Öncelikle sistemler içerisindeki yönetici kullanıcılara ait hesap sayısını düşürmek ve yetkili hesapların kullanımını sadece ihtiyaç duyulan anlarda kullanıma açmak önemli bir adımdır. Bir diğer seçenek ise Microsoft ATA kullanmaktır. ATA içerisinde bulunan davranışsal analiz mekanizmaları çalıntı kimlikler, yükseltilmiş yetkiler ve bunların tespitini yapabilir.
Microsoft ATA ortamınızın ana şifreleme anahtarının ele geçirilebilmesi için gerekli yöntem olan dizin hizmetleri replikasyon modelini tespit edebilir. Bir DC’den genellikle bu bilgiyi almak için Mimikatz DCSync ya da Impacket kullanılır Microsoft ATA bunlar ve benzerlerinin kullanımını ve taktiklerini yakalayabilir. ATA içerisindeki yapay zeka ortamınızın normal replikasyon ve ticket kullanım örneklerini bildiği için bu saldırıları tespit etmesi oldukça kolaydır.
Aşağıdaki örnek ekran görüntüsünden de anlaşılabileceği gibi bir golden Ticket saldırısı ile karşılaşıldığında ATA bu olayı yakalar, raporlar ve ilgilileri uyarabilir.
Microsoft ATA hem EM+S lisansları hem de ECAL lisansları içerisinde geldiği ve kullanım imkanı tanıdığı için öncelikle lisanslarınızı kullanmanızı ve kurulum yapmanızı şiddetle öneririm.