Серебряные билеты (Silver Tickets) — это поддельные билеты Ticket Granting Service (сервер выдачи билетов), созданные злоумышленником на основе хэша пароля взломанного сервисного аккаунта.
Серебряные билеты обладают рядом преимуществ, среди которых можно выделить следующие:
- Злоумышленнику не требуется аутентифицировать учетную запись на контроллере домена для получения поддельного TGS, поэтому он может действовать без создания сетевого трафика и журналов событий, чтобы избежать обнаружения.
- Серебряный билет может быть создан для любой учетной записи пользователя, даже фиктивной. Это позволяет злоумышленнику использовать сервисный аккаунт без риска его обнаружения, что может привести к сбросу пароля и потере доступа.
- Сертификат привилегированного атрибута (Privileged Attribute Certificate) в билете TGS также может быть использован для повышения уровня доступа учетной записи к домену. В большинстве случаев PAC не проверяется на контроллере домена при предоставлении TGS.
Например, злоумышленник может скомпрометировать сервисный аккаунт SQL. Но эта учетная запись не имеет доступа к базам данных и не может войти в компьютер в интерактивном режиме, поэтому злоумышленник мало что может с ней сделать. Silver Tickets позволяет повысить ее привилегии и получить с ее помощью полный контроль над всеми базами данных, размещенными на взломанном SQL Server. Что еще лучше для злоумышленников, они могут делать это, оставаясь очень трудно обнаруживаемыми.