* [Blog](https://www.paloaltonetworks.com/blog) * [Security Operations](https://www.paloaltonetworks.com/blog/security-operations/) * [Must-Read Articles](https://www.paloaltonetworks.com/blog/security-operations/category/must/?lang=ja) * Golden Ticket攻撃につながる活動をCo... # Golden Ticket攻撃につながる活動をCortex XDRで検出・阻止 [](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2Fsecurity-operations%2Fdetecting-and-preventing-the-path-to-a-golden-ticket-with-cortex-xdr%2F%3Flang%3Dja) [](https://twitter.com/share?text=Golden+Ticket%E6%94%BB%E6%92%83%E3%81%AB%E3%81%A4%E3%81%AA%E3%81%8C%E3%82%8B%E6%B4%BB%E5%8B%95%E3%82%92Cortex+XDR%E3%81%A7%E6%A4%9C%E5%87%BA%E3%83%BB%E9%98%BB%E6%AD%A2&url=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2Fsecurity-operations%2Fdetecting-and-preventing-the-path-to-a-golden-ticket-with-cortex-xdr%2F%3Flang%3Dja) [](https://www.linkedin.com/shareArticle?mini=true&url=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2Fsecurity-operations%2Fdetecting-and-preventing-the-path-to-a-golden-ticket-with-cortex-xdr%2F%3Flang%3Dja&title=Golden+Ticket%E6%94%BB%E6%92%83%E3%81%AB%E3%81%A4%E3%81%AA%E3%81%8C%E3%82%8B%E6%B4%BB%E5%8B%95%E3%82%92Cortex+XDR%E3%81%A7%E6%A4%9C%E5%87%BA%E3%83%BB%E9%98%BB%E6%AD%A2&summary=&source=) [](https://www.paloaltonetworks.com//www.reddit.com/submit?url=https://www.paloaltonetworks.com/blog/security-operations/detecting-and-preventing-the-path-to-a-golden-ticket-with-cortex-xdr/?lang=ja&ts=markdown) \[\](mailto:?subject=Golden Ticket攻撃につながる活動をCortex XDRで検出・阻止) Link copied By [Gavriel Fried](https://www.paloaltonetworks.com/blog/author/gavriel-fried/?lang=ja&ts=markdown "Posts by Gavriel Fried") and [Aviad Meyer](https://www.paloaltonetworks.com/blog/author/aviad-meyer/?lang=ja&ts=markdown "Posts by Aviad Meyer") Jan 16, 2023 6 minutes [Must-Read Articles](https://www.paloaltonetworks.com/blog/security-operations/category/must/?lang=ja&ts=markdown) [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown) [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown) [certificate](https://www.paloaltonetworks.com/blog/tag/certificate-ja/?lang=ja&ts=markdown) [DCSync](https://www.paloaltonetworks.com/blog/tag/dcsync-ja/?lang=ja&ts=markdown) [Golden Ticket](https://www.paloaltonetworks.com/blog/tag/golden-ticket-ja/?lang=ja&ts=markdown) [Kerberos](https://www.paloaltonetworks.com/blog/tag/kerberos-ja/?lang=ja&ts=markdown) [Mimikatz](https://www.paloaltonetworks.com/blog/tag/mimikatz-ja/?lang=ja&ts=markdown) [pass the ticket](https://www.paloaltonetworks.com/blog/tag/pass-the-ticket-ja/?lang=ja&ts=markdown) [Privilege Escalation](https://www.paloaltonetworks.com/blog/tag/privilege-escalation-ja/?lang=ja&ts=markdown) [Rubeus](https://www.paloaltonetworks.com/blog/tag/rubeus-ja/?lang=ja&ts=markdown) [ShadowCoerce](https://www.paloaltonetworks.com/blog/tag/shadowcoerce-ja/?lang=ja&ts=markdown) This post is also available in: [English (英語)](https://www.paloaltonetworks.com/blog/security-operations/detecting-and-preventing-the-path-to-a-golden-ticket-with-cortex-xdr/ "英語(English)に切り替える") ## **概要** Benjamin Delpy氏が開発した「[Golden Ticket](https://attack.mitre.org/techniques/T1558/001/)」攻撃は防御側に大きな課題を突きつけました。日々のネットワークアクティビティに隠ぺい可能なポスト エクスプロイト テクニックとしての性質を持つため、検出がかなり難しい場合があります。 この攻撃に成功すると、偽造したKerberosチケット(Golden Ticket)を用いて[Active Directory (AD)](https://ja.wikipedia.org/wiki/Active_Directory)のすべてのサービスとリソースへ自由にアクセスできます。 本ブログ記事ではKerberosとGolden Ticketの概要と、攻撃者の動機を解説します。その上で、既存の検出手法とその注意点をご紹介します。最後に「Golden Ticket」を取得・生成する手口を2つ示した上で、攻撃につながる活動をCortex XDRによって検出・阻止する方法をご説明します。 ## **Golden Ticketとは?** ### **Kerberosの基礎知識** [Kerberos](https://ja.wikipedia.org/wiki/%E3%82%B1%E3%83%AB%E3%83%99%E3%83%AD%E3%82%B9%E8%AA%8D%E8%A8%BC)はActive Directory環境で主に使用されるネットワーク認証プロトコルです。チケットを発行してユーザーを認証しサービスの利用を許可することで、強力な認証を実現します。 チケットは[Key Distribution Center (キー配布センター - KDC)](https://www.techopedia.com/definition/12883/key-distribution-center-kdc-cryptography)によって配布されます。ほとんどの環境において、KDCは[ドメインコントローラ(DC)](https://en.wikipedia.org/wiki/Domain_controller)にインストールされます。 初期認証時に、[チケット保証チケット(TGT)](https://doubleoctopus.com/security-wiki/authentication/ticket-granting-tickets/)がユーザーに割り当てられます。後からTGTを使用してKDCにユーザーを認証し、[Ticket Granting Service (チケット保証サービス - TGS)]()からサービスチケットを要求します。サービスチケットは、サービス認証用に付与されます。 Kerberos認証は以下のステップで構成されます。 1. ユーザーからのTGT要求\*(AS-REQ)\*を受けて、KDCが認証情報とユーザー情報の確認と検証を行います。 2. ユーザー認証後、KDCは暗号化したTGTを要求元ユーザーに返送します\*(AS-REP)\*。 3. ユーザーはTGTをDCに提示し、TGSを要求します\*(TGS-REQ)\*。 4. 暗号化されたTGSが要求元ユーザーに返送されます\*(TGS-REP)\*。 5. 要求したサービスをホストするサーバーにユーザーが接続し、サービス利用のためにTGSを提示します\*(AP-REQ)\*。 6. アプリケーションサーバーが\*(AP-REP)\*をクライアントに送信します。 [![Kerberos認証の流れ (出典: https://adsecurity.org/?p=1515)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/visio-kerberoscomms.png)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/visio-kerberoscomms.png?ts=markdown) Kerberos認証の流れ (出典: [https://adsecurity.org/?p=1515](https://adsecurity.org/?p=1515)) ### **Golden Ticket攻撃 - 攻撃者の動機** Golden Ticketは正規の認証を経ずに生成された「事前認証済み」を装う偽造TGTです。TGSを要求するため、認証を実施した偽の証拠として偽造TGTを用いるのです。Golden Ticketを利用すれば、正規の認証を行わずにリソースにアクセスすることや、攻撃を実行することが可能です。例えば、ドメイン上のすべてのコンピュータ、ファイル、フォルダーにアクセスできます。 その仕組みを理解するため、まずは[KRBTGT](https://adsecurity.org/?p=483)アカウントについて触れます。 [Microsoft TechNet]()の記述を引用します: *「KRBTGTアカウントはローカルのデフォルトアカウントであり、Key Distribution Center (KDC)サービスのサービスアカウントとして機能します。このアカウントは削除できず、アカウント名も変更できません。また、Active DirectoryからKRBTGTアカウントを有効化することはできません。* *KDCはWindows Serverドメインのセキュリティプリンシパル名としてKRBTGTを使用します。この仕様はRFC 4120で定義されたものです。KRBTGTアカウントはKRBTGTセキュリティプリンシパルのエンティティであり、新規ドメインの作成時に自動作成されます。* *Windows ServerのKerberos認証は、共通鍵で暗号化された特別なKerberos TGT (チケット保証チケット)を利用して実現されます。この鍵はサーバーのパスワードか、アクセス要求先サービスのパスワードから生成されます。KRBTGTアカウントのTGTパスワードを知るのはKerberosサービスだけです。セッションチケットを要求するにはKDCにTGTを提示する必要があります。また、KerberosクライアントへのTGTの発行はKDCが行います。」* 簡単に言えば、KRBTGTアカウントがそのドメインのKerberos TGTチケットの暗号化と署名をすべて担当します。また、KDCサービスのためのTGTの暗号化と復号など、Kerberosチケットの検証もすべて実施します。つまり、単にKRBTGTアカウントで暗号化されただけで、偽造されたTGTは有効なチケットと見なされます。 下図は「Golden Ticket」を用いたKerberos認証の流れです。 ![「Golden Ticket」を用いたKerberos認証。AS-REQとAS-REPが存在しない - 画像引用元](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/visio-goldenticket-comms.png) 「Golden Ticket」を用いたKerberos認証。AS-REQとAS-REPが存在しない - (出典: [https://adsecurity.org/?p=1515](https://adsecurity.org/?p=1515)) 言うまでもなく、Golden Ticketは攻撃者にとって重要な標的です。Golden Ticketを取得できればドメイン全体のあらゆるリソースへ高い権限で自由にアクセスできます。 ### **「Golden Ticket」攻撃の前提条件** Golden Ticketを生成するにはネットワーク上で足場を築く必要があります。 Golden Ticketの生成に必要なものは次の通りです。 * ドメインの[完全修飾ドメイン名](https://ja.wikipedia.org/wiki/Fully_Qualified_Domain_Name)(FQDN)。 * ドメインの[セキュリティ識別子](https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%AD%98%E5%88%A5%E5%AD%90)(SID)。 * KRBTGTのパスワードハッシュ。 * なりすましたいアカウントのユーザー名。 ネットワークに足場を築いた攻撃者ならFQDNは簡単に取得できると考えられるので、ここではKRBTGTのパスワードハッシュとドメインのSIDを取得する手口をご紹介しましょう。 ### **既知のGolden Ticket検出方法とその注意点** Golden Ticketの検出方法はいくつか知られていますが、攻撃の性質と検出手段の制約から注意すべきポイントがあります。 ### **TGT要求を伴わないTGS要求** 検出方法の一案としては、TGT要求([EID 4768](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4768))を伴わないTGS要求([EID 4769](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4769))のイベントログを探す方法が挙げられます。ただし、この検出方法にはいくつかの注意点があります。 まず、ビッグデータを扱う場合、分析プロセスや監視プロセスで一部のイベントや情報の断片を見落とすことが珍しくありません。そうなれば、誤検出が発生してセキュリティ運用アナリストが混乱したり、判断を誤ったりする可能性があります。 また、TGTは有効期限が長いため、検出機能がTGT要求とTGS要求の時間差を「Golden Ticket」と見なして誤検出する可能性もあります。 さらに、複数のDCが存在する環境では、TGTとTGSで要求先のDCが異なる場合があります。仮に片方のDCしか監視していない場合、TGTを伴わないTGSと誤検出される可能性があります。 ### **恣意的な寿命や、空欄または偽のドメイン名/アカウント名が設定されたTGTチケット** 別の手段として、TGTそのものの異常を検出する手法が挙げられます。例えば、恣意的な寿命や偽のドメイン名/アカウント名などの異常があれば偽造の可能性があります。 この手法の最大の問題は攻撃者のミスに頼っている点です。攻撃者がプロの場合、有効な検出手法ではありません。 ### **Cortex XDRを用いたGolden Ticket攻撃の検出** Cortex XDRは振る舞い検出・振る舞い分析機能と複数のデータソースを利用して、攻撃フェーズのあらゆる段階で攻撃の可能性を検出します。 ここではGolden Ticketを取得・生成する手口を示した上で、Cortex XDRによって各攻撃ステップを防御・検出できることを示します。 なお、攻撃チェーン全体を確認するため、エージェントをレポートモードに設定した上で攻撃を模擬しました。通常はエージェントのBehavioral Threat Protection (BTP: 振る舞いベースの脅威防御)ルールによって攻撃フェーズを防御・ブロックします。 ### **Golden Ticketの取得 - 手法1: ローカルNTDS.ditのダンプ** Golden Ticketを生成する手法の1つとして、Active Directoryデータベース(NTDS.dit)をダンプして生成に必要な情報を抽出する手法が挙げられます。 まず、DC上でシャドウコピーを作成し、NTDS.ditファイルを取得します。次に、ファイルを分析してKRBTGTハッシュとドメインのSIDを抽出します。後はMimikatzを用いてGolden Ticketを生成できます。 この手法には[NTDS.dit](https://www.windowstechno.com/what-is-ntds-dit/)ファイルかDCへのアクセス権が必要です。 内訳: NTDS.ditファイルはActive Directoryデータを保管するデータベースです。グループ、グループメンバーシップ、ユーザーオブジェクトなどの情報が含まれます。また、ドメイン内の全ユーザーのパスワードハッシュも保管するので、KRBTGTハッシュもこのファイルに格納されています。 KRBTGTアカウントのパスワードハッシュを取得するにはNTDS.ditファイルのコピーが必要ですが、単純にファイルをコピーするわけにはいきません。データベースはActive Directoryによって絶えず更新されるため、ファイルがロックされており、通常のコピーを行えないからです。 NTDS.ditをコピーする手段の1つが、[ボリューム シャドウ コピー](https://en.wikipedia.org/wiki/Shadow_Copy)の作成です。シャドウコピーはコンピュータのボリューム/ファイルのバックアップコピーまたはスナップショットであり、ボリューム/ファイルを使用中でも作成できます。つまり、この仕組みを利用することでNTDS.ditのコピーを作成できます。シャドウコピー作成用のツールとしてはMicrosoftが[Volume Shadow Copy Service (VSS)](https://learn.microsoft.com/ja-jp/windows-server/storage/file-server/volume-shadow-copy-service)を標準提供しています。 まず、攻撃者はVSSを用いてDC上でシャドウコピーを作成します。次に、シャドウコピーからNTDS.ditのコピーを入手した上で、[SYSTEMレジストリハイブ](https://learn.microsoft.com/ja-jp/windows/win32/sysinfo/registry-hives)もコピーします。 SYSTEMレジストリハイブをコピーする理由は[BootKey/SysKey](https://ja.wikipedia.org/wiki/Syskey)が格納されているためです。この暗号鍵は機密情報(NTDS.dit、マシンアカウントのパスワード、システム証明書など)の暗号化に使用されます。 攻撃者はこのBootKeyを用いてNTDS.ditを復号し、その内容を読み取ります。 その後、NTDS.ditのコピーからKRBTGTデータを抽出します。 KRBTGTデータとSIDデータを入手できれば、Golden Ticketの生成が可能になります。 ### **攻撃フロー** 攻撃フローを追うにあたり、攻撃者がDCへのアクセス権を取得済みで、シャドウコピーを生成できる場合を想定します。 まず、攻撃者はVSSを用いてシャドウコピーを生成する必要があります。 ![VSSAdminを用いてシャドウコピーを生成](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-2.jpeg) VSSAdminを用いてシャドウコピーを生成 シャドウコピーを生成したら、NTDS.ditを取得します。 ![シャドウコピーからNTDS.ditを取得。](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-3.jpeg) シャドウコピーからNTDS.ditを取得。 次に、SYSTEMレジストリハイブもコピーが必要です。 ![SYSTEMレジストリハイブをコピー](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-4.jpeg) SYSTEMレジストリハイブをコピー この段階でシャドウコピーのトラックは削除できます。 ![作成したシャドウコピーのトラックを削除](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-5.jpeg) 作成したシャドウコピーのトラックを削除 PowerShellモジュール「[DSInternals](https://www.dsinternals.com/en/downloads/)」を用い、保存したSYSTEMレジストリハイブからBootKey/Syskeyを取得します。 ![SYSTEMレジストリハイブのコピーからBootKeyを取得](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-6.jpeg) SYSTEMレジストリハイブのコピーからBootKeyを取得 シャドウコピーから取得したNTDS.ditは多くの場合修復が必要なため、「[esentutl]()」ユーティリティで修復します。 ![シャドウコピーから取得したNTDS.ditを修復](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-7.jpeg) シャドウコピーから取得したNTDS.ditを修復 修復が完了したら、DSInternalsを用いてNTDS.ditのコピーからKRBTGTデータを抽出できます。 ![NTDS.ditの修復済みコピーからKRBTGTデータを抽出](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-8.jpeg) NTDS.ditの修復済みコピーからKRBTGTデータを抽出 ![抽出したKRBTGTデータ](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-9.jpeg) 抽出したKRBTGTデータ KRBTGTデータとドメインデータを入手したら、Mimikatzを用いて「Golden Ticket」を生成します。 ![Mimikatzを用いてGolden Ticketを生成](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-10.jpeg) Mimikatzを用いてGolden Ticketを生成 ![生成したGolden Ticket](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-11.jpeg) 生成したGolden Ticket ### **Cortex XDRが提供するアラートと通知** Cortex XDRを導入している場合、攻撃フローの様々な段階でアラートと通知を受け取れます。 Volume Shadow Copyを作成してSYSTEMレジストリハイブをダンプすると、Cortex XDRが以下のアラートと通知を発します。 ![Volume Shadow Copyの作成とSYSTEMレジストリハイブのダンプに関するアラート](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-12.jpeg) Volume Shadow Copyの作成とSYSTEMレジストリハイブのダンプに関するアラート ダンプの因果関係チェーンも確認できます。 ![SYSTEMレジストリハイブのダンプに関する因果関係チェーン](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-13.jpeg) SYSTEMレジストリハイブのダンプに関する因果関係チェーン また、SYSTEMレジストリハイブのダンプとNTDS.ditへのアクセス(シャドウコピーからの抽出)に関するBTPルールも利用できます。 ![SYSTEMハイブの保存により発生したアラート - Save key HKLM\\SYSTEM in a suspicious way (疑わしい手法によるHKLM\\SYSTEMキーの保存)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-14.jpeg) SYSTEMハイブの保存により発生したアラート - Save key HKLM\\SYSTEM in a suspicious way (疑わしい手法によるHKLM\\SYSTEMキーの保存) ![Suspicious access to NTDS.dit (NTDS.ditへの疑わしいアクセス)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-15.jpeg) Suspicious access to NTDS.dit (NTDS.ditへの疑わしいアクセス) Identity Analytics Moduleはesentutlの実行を通知します。 ![esentutlでNTDS.ditを修復した際の通知 - Rare process execution (通常見られないプロセスの実行)とRare LOLBIN Process Execution (通常見られないLOLBINプロセスの実行)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-16.jpeg) esentutlでNTDS.ditを修復した際の通知 - Rare process execution (通常見られないプロセスの実行)とRare LOLBIN Process Execution (通常見られないLOLBINプロセスの実行) Mimikatzを実行すると、以下のアラートが発生します。 ![Mimikatzに対するアラート。ツールの実行とKerberosチケットの注入に関するもの](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-17.jpeg) Mimikatzに対するアラート。ツールの実行とKerberosチケットの注入に関するもの MimikatzによるKerberosチケット注入の因果関係チェーンを確認できます。 ![MimikatzによるKerberosチケット注入の因果関係チェーン](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-18.jpeg) MimikatzによるKerberosチケット注入の因果関係チェーン | **アラート名** | **アラートソース** | | vssadmin.exeを用いたVolume Shadow Copyの作成 | XDR BIOC | | Dumping Registry hives with passwords (パスワードを含むレジストリハイブのダンプ) | XDR BIOC | | Behavioral threat detected - Save key HKLM\\SYSTEM in suspicious way (振る舞いベースの脅威検出 - 疑わしい手法によるHKLM\\SYSTEMキーの保存) | XDR Agent | | Suspicious access to NTDS.dit (NTDS.ditへの疑わしいアクセス) | XDR BIOC | | Rare LOLBIN Process Execution by User (通常見られないLOLBINプロセスをユーザーが実行) | XDR Analytics BIOC、Identity Analytics Module | | Rare process execution in organization (組織で通常見られないプロセスの実行) | XDR Analytics BIOC、Identity Analytics Module | | Rare process execution by user (通常見られないプロセスをユーザーが実行) | XDR Analytics BIOC、Identity Analytics Module | | Suspicious Process Creation (疑わしいプロセスの作成) | XDR Agent | | WildFire Malware (WildFireのマルウェアアラート) | XDR Agent | | Behavioral threat detected - Mimikatz process start (振る舞いベースの脅威検出 - Mimikatzプロセスの開始) | XDR Agent | | Behavioral threat detected - Inject Kerberos ticket (振る舞いベースの脅威検出 - Kerberosチケットの注入) | XDR Agent | |------------------------------------------------------------------------------------------------------------------|----------------------------------------------| ### **手法2: DCSync** Golden Ticketの生成に用いられるもう1つの手法が、[ShadowCoerce](https://github.com/ShutdownRepo/ShadowCoerce)と[Active Directory Certificate Services (ADCS)]()を用いて[File Server Remote VSS (MS-FSRVP)](https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-fsrvp/dae107ec-8198-4778-a950-faa7edad125b)を悪用し、DCマシンアカウントの証明書を取得するやり方です。DCの証明書を取得すれば、DCを装って認証を行い、[DCSync](https://attack.mitre.org/techniques/T1003/006/)を実行することで、Golden Ticketの生成に用いるKRBTGTデータを入手できます。 この手法は、低権限ユーザーからドメインのリソースに対する完全なアクセス権を持つGolden Ticketへと権限昇格を行う手法の一例です。 内訳: ShadowCoerceはMS-FSRVPの[RPC](https://en.wikipedia.org/wiki/Microsoft_RPC)を悪用するツールです。 MS-FSRVPを実行するサーバーがIsPathSupportedメソッドとIsPathShadowCopiedメソッドを利用している場合、[Server Message Block (SMB)](https://ja.wikipedia.org/wiki/Server_Message_Block)プロトコルを通じて当該サーバーのマシンアカウントを特定のホストに対して認証させることが可能です。 [ntlmrelayx](https://github.com/SecureAuthCorp/impacket/blob/master/examples/ntlmrelayx.py)を[リレーサーバー](https://attack.mitre.org/techniques/T1557/001/)として用いることで、SMB認証のリスナーをセットアップできます。SMB認証を捕捉したら、リレーサーバーによってADCSサーバーへ認証を中継することで、当該マシンアカウントの証明書を取得できます。 *\* ADCS認証とその悪用についてはは「* [*Active Directory Certificate Servicesの悪用をCortex XDRで検出*](https://www.paloaltonetworks.com/blog/security-operations/detecting-active-directory-certificate-services-abuse-with-cortex-xdr/?ts=markdown)*」をご覧ください* マシンアカウントの証明書を取得したら、証明書を用いてDCのTGTを要求できます。TGTを入手できれば、「[Pass the Ticket](https://attack.mitre.org/techniques/T1550/003/)」の手口により、高い権限を持つマシンアカウントを装った認証を行えます。なお、これらの活動には[Rubeus](https://github.com/GhostPack/Rubeus)が使用されます。 まず、攻撃者はDCにリレーサーバーへの認証を行わせることで、DCを装った認証を実現します。DCを装った認証に成功したら、DCSyncを実行します。 *手短に言えば、DCSyncとはドメインコントローラのレプリケーション手法です。悪用することで、KRBTGTハッシュなどのパスワードデータとパスワードハッシュを取得できます。* DCSyncを実行すると、KRBTGTハッシュとドメインのSIDを抽出できます。これらの情報とドメインのFQDNを組み合わせることで、Golden Ticketを生成できます。 生成したGolden Ticketを利用すれば、ドメイン上のあらゆるリソースにアクセスできます。 ### **攻撃フロー** 攻撃フローを追うにあたり、ADCS、MS-FSRVPサーバー、リレーマシンが存在するドメインで、攻撃者が何らかのマシンのアクセス権を取得済みだとします。 攻撃者はまずリレーサーバーをセットアップします。このサーバーはSMB認証をリッスンしてADCSサーバーに中継する役割を担います。 ![ntlmrelayxを用いたリレーサーバーのセットアップ](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-19.jpeg) ntlmrelayxを用いたリレーサーバーのセットアップ リレーサーバーのセットアップ完了後、SMB認証を捕捉したら、ShadowCoerceを用いてリレーサーバーに対する認証をDCに行わせます。 ![MS-FSRVPを悪用してリレーサーバーに認証を中継](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-20.jpeg) MS-FSRVPを悪用してリレーサーバーに認証を中継 リレーサーバーによって認証をADCSサーバーに中継し、証明書を取得します。 ![リレーサーバーがADCSに認証を中継し、証明書を取得](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-21.jpeg) リレーサーバーがADCSに認証を中継し、証明書を取得 証明書を手に入れたら、「Pass the Ticket」の手口とRubeusを用いてDCマシンアカウントのTGTを入手します。 ![Rubeusを用いてDCマシンアカウントのTGTを取得](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-22.jpeg) Rubeusを用いてDCマシンアカウントのTGTを取得 下図のように、DCマシンアカウントのTGTを入手できました。 ![RubeusによるDCマシンアカウントのTGTの取得に成功](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-23.jpeg) RubeusによるDCマシンアカウントのTGTの取得に成功 ![取得したTGTをklistコマンドで表示](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-24.jpeg) 取得したTGTをklistコマンドで表示 次に、[Mimikatz](https://attack.mitre.org/software/S0002/)を用いてDCSyncを実施し、KRBTGTハッシュとドメインSIDを取得します。 ![mimikatzを用いてDCSyncを実施](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-25.jpeg) mimikatzを用いてDCSyncを実施 最後に、ドメインFQDN、ドメインSID、「Pass the Ticket」によって取得したKRBTGTのNTLMハッシュを用いてGolden Ticketを生成します。 ![Mimikatzを用いてGolden Ticketを生成](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-26.jpeg) Mimikatzを用いてGolden Ticketを生成 ![Golden Ticketの生成に成功](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-27.jpeg) Golden Ticketの生成に成功 これで、攻撃者はドメイン上のリソースにアクセスできるようになりました。 ![ドメインコントローラのCドライブにアクセス](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-28.jpeg) ドメインコントローラのCドライブにアクセス ### **Cortex XDRが提供するアラートと情報** Cortex XDRを導入している場合、攻撃フローの様々な段階でアラートと通知を受け取れます。 ShadowCoerceが実行されると、Cortex XDRは以下のアラートと通知を発します。 ![CMDからShadowCoerceを実行した際の通知 - Rare signature signed executable executed on the network (通常見られない署名の実行ファイルがネットワーク上で実行された)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-29.jpeg) CMDからShadowCoerceを実行した際の通知 - Rare signature signed executable executed on the network (通常見られない署名の実行ファイルがネットワーク上で実行された) ![ShadowCoerceによって発生するアラート - Suspicious usage of File Server Remote VSS Protocol (FSRVP) (FSRVPの疑わしい利用)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-30.jpeg) ShadowCoerceによって発生するアラート - Suspicious usage of File Server Remote VSS Protocol (FSRVP) (FSRVPの疑わしい利用) 標的サーバー上でのFSRVP悪用に関する因果関係チェーンを確認できます。 ![ShadowCoerceによるFSRVP悪用に関する因果関係チェーン](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-31.jpeg) ShadowCoerceによるFSRVP悪用に関する因果関係チェーン さらに、ShadowCoerceのSMBトラフィックと、リレーサーバーでの強制的なSMB認証により、以下のアラートが発生します。 ![ShadowCoerceにより発生したアラート - SMB Traffic from Non-Standard Process (非標準プロセスからのSMBトラフィック)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-32.jpeg) ShadowCoerceにより発生したアラート - SMB Traffic from Non-Standard Process (非標準プロセスからのSMBトラフィック) ![非標準プロセスからのSMBトラフィックの因果関係チェーン](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-33.jpeg) 非標準プロセスからのSMBトラフィックの因果関係チェーン ![強制的な認証により発生したアラート - Suspicious SMB connection from domain controller (ドメインコントローラからの疑わしいSMB接続)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-34.jpeg) 強制的な認証により発生したアラート - Suspicious SMB connection from domain controller (ドメインコントローラからの疑わしいSMB接続) ![ドメインコントローラからの疑わしいSMB接続の因果関係チェーン](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-35.jpeg) ドメインコントローラからの疑わしいSMB接続の因果関係チェーン Rubeusを実行すると、以下のアラートとBTP防御ルールが起動します。 ![Rubeusに対するアラート。ツールの実行とKerberosのやり取りに関するもの](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-36.jpeg) Rubeusに対するアラート。ツールの実行とKerberosのやり取りに関するもの Identity Analytics ModuleはRubeusとklistの実行を通知します。 ![Rubeusとklistの実行に伴う通知 - Rare process execution by user (通常見られないプロセスをユーザーが実行)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-37.jpeg) Rubeusとklistの実行に伴う通知 - Rare process execution by user (通常見られないプロセスをユーザーが実行) DCではないマシンからDCマシンアカウントのTGTを要求されると、以下のアラートが発生します。 ![DCマシンアカウントのTGT要求によって発生したアラート - TGT request with a spoofed sAMAccountName - Event log (偽装されたsAMAccountNameによるTGT要求 - イベントログ)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-38.jpeg) DCマシンアカウントのTGT要求によって発生したアラート - TGT request with a spoofed sAMAccountName - Event log (偽装されたsAMAccountNameによるTGT要求 - イベントログ) Mimikatzの実行に関しては、以下のアラートが発生します。 ![ツールの実行に伴うMimikatzのアラート](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-39.jpeg) ツールの実行に伴うMimikatzのアラート さらに、Identity Analytics Moduleによる通知も発生します。 ![Mimikatzの実行に伴う通知 - Rare process execution by user (通常見られないプロセスをユーザーが実行)](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-40.jpeg) Mimikatzの実行に伴う通知 - Rare process execution by user (通常見られないプロセスをユーザーが実行) Rubeusによるチケット注入とMimikatzの実行の両方について因果関係チェーンを確認できます。 ![Rubeusによるチケット注入とMimikatzの実行に関する因果関係チェーン](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-41.jpeg) Rubeusによるチケット注入とMimikatzの実行に関する因果関係チェーン 最後に、DCSyncはBTPルールでブロックできます。 ![DCSyncアラート](https://www.paloaltonetworks.com/blog/wp-content/uploads/2022/05/word-image-42.jpeg) DCSyncアラート | **アラート名** | **アラートソース** | | Rare signature signed executable executed on the network (通常見られない署名の実行ファイルがネットワーク上で実行された) | XDR Analytics BIOC | | Suspicious usage of File Server Remote VSS Protocol (FSRVP) (FSRVPの疑わしい利用) | XDR Analytics BIOC | | SMB Traffic from Non-Standard Process (非標準プロセスからのSMBトラフィック) | XDR Analytics BIOC | | Suspicious SMB connection from domain controller (ドメインコントローラからの疑わしいSMB接続) | XDR Analytics BIOC | | WildFire Malware (WildFireのマルウェアアラート) | XDR Agent | | Behavioral threat detected - Inject Kerberos ticket (振る舞いベースの脅威検出 - Kerberosチケットの注入) | XDR Agent | | Rubeus tool execution (Rubeusツールが実行された) | XDR BIOC | | Kerberos Traffic from Non-Standard Process (非標準プロセスからのKerberosトラフィック) | XDR Analytics BIOC | | Potentially Dangerous Tool - Rubeus tool used for raw Kerberos interaction and abuses. (危険性のあるツール - Kerberosの生のやり取りと悪用に用いられるRubeusツール) | XDR Agent | | Rare process execution by user (通常見られないプロセスをユーザーが実行) | XDR Analytics BIOC、Identity Analytics Module | | Rare process execution in organization (組織で通常見られないプロセスの実行) | XDR Analytics BIOC、Identity Analytics Module | | TGT request with a spoofed sAMAccountName - Event log (偽装されたsAMAccountNameによるTGT要求 - イベントログ) | XDR Analytics BIOC、Identity Analytics Module | | Suspicious Process Creation (疑わしいプロセスの作成) | XDR Agent | | Behavioral threat detected - Mimikatz process start (振る舞いベースの脅威検出 - Mimikatzプロセスの開始) | XDR Agent | | Credential Gathering - DCSync attack (認証情報の収集 - DCSync攻撃) | XDR Agent | |----------------------------------------------------------------------------------------------------------------------------------------|----------------------------------------------| ## **結論** Golden Ticket攻撃では、ドメイン上の全リソースに対する自由なアクセスが可能になります。 推奨する対策は、DCへのアクセス経路を制限するセキュリティポリシーを作成し、最小権限モデルを実装することです。 さらに、Cortex XDRなどのセキュリティプラットフォームをデプロイすることで、攻撃の各段階で保護と可視化を行う層を追加できます。 Cortex XDRの詳細は、[Cortex XDRのWebページ](https://www.paloaltonetworks.com/cortex/cortex-xdr?ts=markdown)または[XDR基本ガイド](https://start.paloaltonetworks.jp/essential-guide-to-xdr.html)をご覧ください。 *** ** * ** *** ## Related Blogs ### [Must-Read Articles](https://www.paloaltonetworks.com/blog/security-operations/category/must/?lang=ja&ts=markdown), [Product Features](https://www.paloaltonetworks.com/blog/security-operations/category/product-features-ja/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown) [#### CortexXDRによるBronze Bit脆弱性からの保護](https://www.paloaltonetworks.com/blog/security-operations/bronze-bit-vulnerability-xdr/?lang=ja) ### [Endpoint](https://www.paloaltonetworks.com/blog/category/endpoint/?lang=ja&ts=markdown), [Must-Read Articles](https://www.paloaltonetworks.com/blog/security-operations/category/must/?lang=ja&ts=markdown), [News and Events](https://www.paloaltonetworks.com/blog/security-operations/category/news-and-events-ja/?lang=ja&ts=markdown), [Product Features](https://www.paloaltonetworks.com/blog/security-operations/category/product-features-ja/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown) [#### APT29のスピアフィッシング攻撃をCortex XDRで検出する方法](https://www.paloaltonetworks.com/blog/security-operations/hunting-for-apt29-spear-phishing-using-xdr/?lang=ja) ### [Announcement](https://www.paloaltonetworks.com/blog/category/announcement-ja/?lang=ja&ts=markdown), [Must-Read Articles](https://www.paloaltonetworks.com/blog/security-operations/category/must/?lang=ja&ts=markdown), [News and Events](https://www.paloaltonetworks.com/blog/security-operations/category/news-and-events-ja/?lang=ja&ts=markdown), [Product Features](https://www.paloaltonetworks.com/blog/security-operations/category/product-features-ja/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown) [#### Forrester Wave: XDR部門でリーダーに位置付け](https://www.paloaltonetworks.com/blog/2024/07/forrester-names-palo-alto-networks-a-leader-in-xdr/?lang=ja) ### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [Secure the Future](https://www.paloaltonetworks.com/blog/category/secure-the-future-2/?lang=ja&ts=markdown), [Threat Prevention](https://www.paloaltonetworks.com/blog/category/threat-prevention/?lang=ja&ts=markdown) [#### Precision AI™ と SASE](https://www.paloaltonetworks.com/blog/2024/06/precisionai-sase/?lang=ja) ### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Public Sector](https://www.paloaltonetworks.com/blog/category/public-sector-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown) [#### Palo Alto Networksの次世代ファイアウォール製品、耐量子計算機暗号への対応を開始](https://www.paloaltonetworks.com/blog/2024/04/pqc-intro/?lang=ja) ### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Endpoint](https://www.paloaltonetworks.com/blog/category/endpoint/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Cloud](https://www.paloaltonetworks.com/blog/category/secure-the-cloud-2/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown) [#### Cortex XDRとPrisma Access 連携ソリューションの紹介](https://www.paloaltonetworks.com/blog/2024/02/cortex-xdr-prisma-access-cp2/?lang=ja) ### Subscribe to Security Operations Blogs! Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more. ![spinner](https://www.paloaltonetworks.com/blog/wp-content/themes/panwblog2023/dist/images/ajax-loader.gif) Sign up Please enter a valid email. By submitting this form, you agree to our [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) and acknowledge our [Privacy Statement](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown). Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder. This site is protected by reCAPTCHA and the Google [Privacy Policy](https://policies.google.com/privacy) and [Terms of Service](https://policies.google.com/terms) apply. {#footer} {#footer} ## Products and Services * [AI-Powered Network Security Platform](https://www.paloaltonetworks.com/network-security?ts=markdown) * [Secure AI by Design](https://www.paloaltonetworks.com/precision-ai-security/secure-ai-by-design?ts=markdown) * [Prisma AIRS](https://www.paloaltonetworks.com/prisma/prisma-ai-runtime-security?ts=markdown) * [AI Access Security](https://www.paloaltonetworks.com/sase/ai-access-security?ts=markdown) * [Cloud Delivered Security Services](https://www.paloaltonetworks.com/network-security/security-subscriptions?ts=markdown) * [Advanced Threat Prevention](https://www.paloaltonetworks.com/network-security/advanced-threat-prevention?ts=markdown) * [Advanced URL Filtering](https://www.paloaltonetworks.com/network-security/advanced-url-filtering?ts=markdown) * [Advanced WildFire](https://www.paloaltonetworks.com/network-security/advanced-wildfire?ts=markdown) * [Advanced DNS Security](https://www.paloaltonetworks.com/network-security/advanced-dns-security?ts=markdown) * [Enterprise Data Loss Prevention](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown) * [Enterprise IoT Security](https://www.paloaltonetworks.com/network-security/enterprise-device-security?ts=markdown) * [Medical IoT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown) * [Industrial OT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown) * [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown) * [Next-Generation Firewalls](https://www.paloaltonetworks.com/network-security/next-generation-firewall?ts=markdown) * [Hardware Firewalls](https://www.paloaltonetworks.com/network-security/hardware-firewall-innovations?ts=markdown) * [Software Firewalls](https://www.paloaltonetworks.com/network-security/software-firewalls?ts=markdown) * [Strata Cloud Manager](https://www.paloaltonetworks.com/network-security/strata-cloud-manager?ts=markdown) * [SD-WAN for NGFW](https://www.paloaltonetworks.com/network-security/sd-wan-subscription?ts=markdown) * [PAN-OS](https://www.paloaltonetworks.com/network-security/pan-os?ts=markdown) * [Panorama](https://www.paloaltonetworks.com/network-security/panorama?ts=markdown) * [Secure Access Service Edge](https://www.paloaltonetworks.com/sase?ts=markdown) * [Prisma SASE](https://www.paloaltonetworks.com/sase?ts=markdown) * [Application Acceleration](https://www.paloaltonetworks.com/sase/app-acceleration?ts=markdown) * [Autonomous Digital Experience Management](https://www.paloaltonetworks.com/sase/adem?ts=markdown) * [Enterprise DLP](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown) * [Prisma Access](https://www.paloaltonetworks.com/sase/access?ts=markdown) * [Prisma Browser](https://www.paloaltonetworks.com/sase/prisma-browser?ts=markdown) * [Prisma SD-WAN](https://www.paloaltonetworks.com/sase/sd-wan?ts=markdown) * [Remote Browser Isolation](https://www.paloaltonetworks.com/sase/remote-browser-isolation?ts=markdown) * [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown) * [AI-Driven Security Operations Platform](https://www.paloaltonetworks.com/cortex?ts=markdown) * [Cloud Security](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown) * [Cortex Cloud](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown) * [Application Security](https://www.paloaltonetworks.com/cortex/cloud/application-security?ts=markdown) * [Cloud Posture Security](https://www.paloaltonetworks.com/cortex/cloud/cloud-posture-security?ts=markdown) * [Cloud Runtime Security](https://www.paloaltonetworks.com/cortex/cloud/runtime-security?ts=markdown) * [Prisma Cloud](https://www.paloaltonetworks.com/prisma/cloud?ts=markdown) * [AI-Driven SOC](https://www.paloaltonetworks.com/cortex?ts=markdown) * [Cortex XSIAM](https://www.paloaltonetworks.com/cortex/cortex-xsiam?ts=markdown) * [Cortex XDR](https://www.paloaltonetworks.com/cortex/cortex-xdr?ts=markdown) * [Cortex XSOAR](https://www.paloaltonetworks.com/cortex/cortex-xsoar?ts=markdown) * [Cortex Xpanse](https://www.paloaltonetworks.com/cortex/cortex-xpanse?ts=markdown) * [Unit 42 Managed Detection \& Response](https://www.paloaltonetworks.com/cortex/managed-detection-and-response?ts=markdown) * [Managed XSIAM](https://www.paloaltonetworks.com/cortex/managed-xsiam?ts=markdown) * [Threat Intel and Incident Response Services](https://www.paloaltonetworks.com/unit42?ts=markdown) * [Proactive Assessments](https://www.paloaltonetworks.com/unit42/assess?ts=markdown) * [Incident Response](https://www.paloaltonetworks.com/unit42/respond?ts=markdown) * [Transform Your Security Strategy](https://www.paloaltonetworks.com/unit42/transform?ts=markdown) * [Discover Threat Intelligence](https://www.paloaltonetworks.com/unit42/threat-intelligence-partners?ts=markdown) ## Company * [About Us](https://www.paloaltonetworks.com/about-us?ts=markdown) * [Careers](https://jobs.paloaltonetworks.com/en/) * [Contact Us](https://www.paloaltonetworks.com/company/contact-sales?ts=markdown) * [Corporate Responsibility](https://www.paloaltonetworks.com/about-us/corporate-responsibility?ts=markdown) * [Customers](https://www.paloaltonetworks.com/customers?ts=markdown) * [Investor Relations](https://investors.paloaltonetworks.com/) * [Location](https://www.paloaltonetworks.com/about-us/locations?ts=markdown) * [Newsroom](https://www.paloaltonetworks.com/company/newsroom?ts=markdown) ## Popular Links * [Blog](https://www.paloaltonetworks.com/blog/?ts=markdown) * [Communities](https://www.paloaltonetworks.com/communities?ts=markdown) * [Content Library](https://www.paloaltonetworks.com/resources?ts=markdown) * [Cyberpedia](https://www.paloaltonetworks.com/cyberpedia?ts=markdown) * [Event Center](https://events.paloaltonetworks.com/) * [Manage Email Preferences](https://start.paloaltonetworks.com/preference-center) * [Products A-Z](https://www.paloaltonetworks.com/products/products-a-z?ts=markdown) * [Product Certifications](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance?ts=markdown) * [Report a Vulnerability](https://www.paloaltonetworks.com/security-disclosure?ts=markdown) * [Sitemap](https://www.paloaltonetworks.com/sitemap?ts=markdown) * [Tech Docs](https://docs.paloaltonetworks.com/) * [Unit 42](https://unit42.paloaltonetworks.com/) * [Do Not Sell or Share My Personal Information](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd) ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg) * [Privacy](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown) * [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center?ts=markdown) * [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) * [Documents](https://www.paloaltonetworks.com/legal?ts=markdown) Copyright © 2026 Palo Alto Networks. All Rights Reserved * [![Youtube](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks) * [![Podcast](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://www.paloaltonetworks.com/podcasts/threat-vector?ts=markdown) * [![Facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/) * [![LinkedIn](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks) * [![Twitter](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks) * EN Select your language