【流量安全】黄金票据GT的后门检测

  黄金票据的异常行为主要体现在 Kerberos 认证过程的异常，攻击过程中由于票据已经自己产生，所以与正常认证过程中会缺少认证请求应答与票据请求应答。当需要访问目标服务时会将注入的票据作为凭证提供并校验。可以尝试通过网络流量进行分析和检测。

1. Kerberos完整性识别：

    记录AS-REP与TGS-REP后可以获知域内用户在何时申请过票据服务。当其他客户端通过票据请求访问服务端时可以通过检索AS-REP与TGS-REP的方式进行审查是否通过KDC申请并获取过票据，从而判断是否为票据攻击

    由于黄金票据的利用涉及多条会话流，且每个流会话中无明显威胁特征；实战中的威胁特征判断时是基于整个KDC身份校验过程是否完整无误；所以单条流量无法判断黄金票据的攻击行为； 需要结合主机日志检测，单独讨论。

2.  识别异常票据时间的 TGT ：

正常的KerberosTGT票据默认有效期10小时，最长续期7天

攻击者可能生成一个长期有效的TGT或TGS（如9年到期）

检测策略：

监控AS-REQ和TGS-REQ流量，检查ticket lifetime，基于流量规则对 Kerberos 票据相应包时间字段进行分析。

Suricata检测规则：

alerttcp$DC88->anyany(msg:"KerberosTGT-GTLongTime";content:"|301EA003020105A1|";distance:0;within:8;pcre:"/[x18-x19]x0Dx00x00/";flow:from_server;sid:100001

1.AD域控的响应包流量检测

2.匹配Kerberos 票据的基本结构特征（特征匹配优先级高，可控制正则的性能消耗）

3.正则识别时间字段，并判断时间值。

    黄金票据的攻击难以通过单一方法完全检测，所以需要结合主机日志和流量内容才能有效分析（因为单一的规则无法面对庞大的Keberos认证的流量，逐一识别归类每一个认证流量，然后基于场景进行完整性分析，其中间涉及到的延迟、标签、误报判断问题都是显著的阻力。本地日志可结合win系统自身的日志ID进行分析，准确率较高。）