跨域票据传递(Cross-Domain Ticket Relay)是一种利用多域信任关系实施隐蔽横向移动的技术。攻击者通过解析域间信任密钥(Trust Key)和跨域票证(Cross-Realm TGT),构建跨越多个Kerberos域的身份传递链。该技术将传统单域票据传递扩展至多域拓扑环境,通过信任链的层级跳转稀释单次票据使用频率,并利用不同域的日志审计策略差异规避行为关联分析。
该技术的匿迹效果源于信任关系的拓扑复杂性。首先通过中间域(Transit Realm)的信任策略转发票据请求,使目标域的KDC服务器难以追溯原始请求来源。其次采用信任链嵌套技术,将单次票据传递拆解为多个跨域票据转换操作,每个操作均符合域间信任协议规范。关键技术包括:域间信任密钥的离线推导、跨域票据的加密封装转换、信任路径的动态选择算法。由此形成的跨域攻击链在单个域的监控视角下仅表现为合法跨域认证行为,而完整的攻击路径需要通过多域日志的时空关联才能还原,显著提高了防御方的攻击溯源成本。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon