Kerberoasting
Was ist Kerberoasting?
KerberoastingEin Offline-Passwortangriff, der Kerberos-Service-Tickets für Dienstkonten anfordert und den verschlüsselten Teil knackt, um deren Klartext-Passwörter zu gewinnen.
Kerberoasting, erstmals von Tim Medin auf der DerbyCon 2014 beschrieben, missbraucht eine Kerneigenschaft von Kerberos: Jeder authentifizierte Domänenbenutzer kann ein Service-Ticket (TGS-REP) für einen beliebigen Service Principal Name (SPN) anfordern, und ein Teil dieses Tickets ist mit dem NTLM-Passworthash des Dienstkontos verschlüsselt. Der Angreifer berührt den Zieldienst nie — er enumeriert SPNs (über LDAP, setspn, Rubeus oder Impactets GetUserSPNs), fordert die Tickets an, exportiert die verschlüsselten Blobs und knackt sie offline mit Hashcat (Modus 13100) oder John the Ripper. Es sind weder erhöhte Rechte noch Kontosperrungen im Spiel, sodass Dienstkonten mit schwachen, nicht rotierten Passwörtern oft binnen Stunden fallen.
Das Risiko ist am höchsten bei veralteten RC4-HMAC-Tickets (etype 23), die sich weitaus schneller knacken lassen als AES; Angreifer stufen Requests häufig absichtlich auf RC4 herab. MITRE ATT&CK führt dies als T1558.003. Es ist ein Favorit von Ransomware-Affiliates und stand im Zentrum vielfach berichteter Active-Directory-Kompromittierungen, da Dienstkonten häufig überprivilegiert sind. Schutzmaßnahmen: 25+ Zeichen lange Zufallspasswörter oder group Managed Service Accounts (gMSA/dMSA) mit automatischer Rotation verwenden, AES-Verschlüsselungstypen erzwingen, unnötige SPNs von privilegierten Konten entfernen, Honeypot-SPNs ausbringen und bei Event ID 4769 alarmieren, das massenhafte RC4-Ticket-Anfragen zeigt.
flowchart TD A[Unprivilegierter Domänenbenutzer] -->|"1. SPNs über LDAP enumerieren"| B[Active Directory] A -->|"2. TGS für SPN anfordern (RC4 erzwingen)"| C[KDC / Domain Controller] C -->|"3. TGS-REP verschlüsselt mit<br/>Dienstkonto-Hash"| A A -->|"4. Ticket exportieren"| D[Offline-Cracking<br/>Hashcat Modus 13100] D -->|"5. Schwaches Passwort wiederhergestellt"| E[Kompromittierung des Dienstkontos<br/>→ Lateral Movement / DA]
● Beispiele
- 01
Rubeus kerberoast als unprivilegierter Benutzer ausführen, um TGS-Tickets zu sammeln, und sie anschließend mit Hashcat knacken.
- 02
Erkennen, dass ein Domain Admin einen SPN mit einem schwachen Passwort hat, und damit zur Übernahme der gesamten Domäne eskalieren.
● Häufige Fragen
Was ist Kerberoasting?
Ein Offline-Passwortangriff, der Kerberos-Service-Tickets für Dienstkonten anfordert und den verschlüsselten Teil knackt, um deren Klartext-Passwörter zu gewinnen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Kerberoasting?
Ein Offline-Passwortangriff, der Kerberos-Service-Tickets für Dienstkonten anfordert und den verschlüsselten Teil knackt, um deren Klartext-Passwörter zu gewinnen.
Wie schützt man sich gegen Kerberoasting?
Schutzmaßnahmen gegen Kerberoasting kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.