Diamond Ticket (Бриллиантовый билет)
Бриллиантовые билеты могут служить хорошей альтернативой золотым и серебряным билетам, так как для их использования необходимо просто запросить обычный билет, расшифровать PAC, изменить его, пересчитать подписи и снова зашифровать. Для этого требуется знание долгосрочного ключа целевой службы (krbtgt для TGT или целевой службы для сервисного билета). Эта техника позволяет создать PAC, который очень похож на легитимный, а также формирует легитимные запросы.
При подделке билетов до обновлений ноября 2021 года, идентификатор пользователя и идентификаторы групп были полезны, а предоставляемое имя пользователя было в основном бесполезным. С обновлениями, если предоставленное имя пользователя отсутствует в Active Directory, билет отклоняется. Это также относится к серебряным билетам.
Так как золотые и серебряные билеты полностью подделаны и не сопровождаются легитимными запросами TGT (KRB_AS_REQ) или запросами сервисных билетов (KRB_TGS_REQ), их обнаружение происходит довольно часто. Алмазные билеты представляют собой альтернативу для получения подобных билетов более скрытным способом.
Rubeus.exe diamond /domain:DOMAIN /user:USER /password:PASSWORD /dc:DOMAIN_CONTROLLER /enctype:AES256 /krbkey:HASH /ticketuser:USERNAME /ticketuserid:USER_ID /groups:GROUP_IDS
Полученный билет затем может быть использован как любой другой TGT, но уже с модификациями. Мы запросили сервисный билет для сервиса CIFS на целевом контроллере домена.
Теперь мы можем получить доступ к общему ресурсу C$ на контроллере домена, аутентифицируясь как другой пользователь, нежели аккаунт, запросивший TGT.
Из UNIX-подобных систем для таких целей можно использовать скрипт ticketer из Impacket.
ticketer.py -request -domain 'DOMAIN.FQDN' -user 'domain_user' -password 'password' -nthash 'krbtgt/service NT hash' -aesKey 'krbtgt/service AES key' -domain-sid 'S-1-5-21-...' -user-id '1337' -groups '512,513,518,519,520' 'baduser'