Pass-the-Ticket (PtT)

Pass-the-Ticket (PtT) est l'équivalent Kerberos du Pass-the-Hash : l'attaquant injecte un ticket Kerberos (TGT ou TGS) précédemment volé dans sa session, et accède aux services authentifiés Kerberos en tant que la victime. Contrairement au PtH (lié à NTLM), le PtT est l'attaque privilégiée dans les environnements Kerberos modernes où NTLM est désactivé ou audité.

Workflow : (1) extraire des tickets Kerberos en mémoire — mimikatz `sekurlsa::tickets /export` dump tous les tickets de la session LSASS au format .kirbi ; alternativement, Rubeus `dump` extrait depuis LSA ; (2) le fichier .kirbi (ou .ccache pour Linux) contient le TGT ou TGS avec sa clé de session ; (3) sur la machine attaquante (même non liée au domaine), injecter le ticket — mimikatz `kerberos::ptt fichier.kirbi`, Rubeus `ptt /ticket:base64`, Impacket avec variable KRB5CCNAME ; (4) accéder aux services (SMB, LDAP, MSSQL, etc.) — le service valide le ticket auprès du KDC ou localement et accorde l'accès.

Variantes spéciales : Golden Ticket (TGT forgé avec hash krbtgt), Silver Ticket (TGS forgé pour un service), Overpass-the-Hash (utiliser un hash AES/NTLM pour demander un TGT légitime au KDC, plus discret qu'un Golden Ticket forgé).

Détection : (1) Event ID 4624 logon type 9 avec NewCredentials et package Negotiate ; (2) tickets utilisés depuis une IP/host différent de celui où ils ont été émis ; (3) corrélation TGT (4768) absent et TGS (4769) présent sur DC ; (4) Microsoft Defender for Identity. Mitigations : (1) Credential Guard ; (2) durée de vie courte des tickets (LifetimeKerberos via GPO) ; (3) Protected Users (ticket lifetime 4h, no NTLM, no delegation) ; (4) audit des sessions Kerberos.