Golden Ticket (Kerberos Golden Ticket / Forged TGT)

Ein Golden Ticket ist ein gefälschtes Kerberos-Ticket Granting Ticket (TGT), das ein Angreifer erstellen kann, nachdem er den NTLM-Hash des KRBTGT-Kontos eines Active Directory kompromittiert hat, und das ihm dauerhaften und nahezu uneingeschränkten Zugang zur gesamten Active-Directory-Domäne ermöglicht. Das KRBTGT-Konto signiert alle Kerberos-Tickets in der Domäne; wer seinen Hash kennt, kann gültige Tickets für beliebige Benutzer, Ressourcen und Zeiträume ausstellen. In IT-Vergaben für Active-Directory-Betrieb sollten Auftraggeber regelmäßige KRBTGT-Passwortrotation, Tier-Modell-Implementierung und UEBA-basierte Monitoring-Lösungen als Schutzmaßnahmen verbindlich vorschreiben.