Kerberoasting
Was ist Kerberoasting?
KerberoastingOffline-Passwortangriff, der Kerberos-Service-Tickets fuer Dienstkonten anfordert und den verschluesselten Teil knackt, um deren Klartext-Passwoerter zu gewinnen.
Kerberoasting nutzt aus, dass jeder authentifizierte Domain-Nutzer fuer beliebige SPNs ein TGS anfordern kann und dieses Ticket mit dem Passworthash des Dienstkontos verschluesselt ist. Der Angreifer enumeriert SPNs, fordert TGS-Tickets an (typisch mit Rubeus oder Impacket GetUserSPNs), exportiert sie und knackt sie offline mit Hashcat oder John the Ripper. Schwache, lange nicht rotierte Servicekonto-Passwoerter fallen oft binnen Stunden. MITRE ATT&CK fuehrt das als T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). Schutz: lange Zufallspasswoerter oder gMSA fuer Servicekonten, ausschliesslich AES-Kerberos, keine SPNs auf privilegierten Konten und Alarmierung bei massenhaften TGS-Anfragen mit RC4.
● Beispiele
- 01
Rubeus kerberoast als unprivilegierter Benutzer ausfuehren, TGS sammeln und mit Hashcat knacken.
- 02
Erkennen, dass ein Domain Admin einen SPN mit schwachem Passwort hat, und damit die Domain uebernehmen.
● Häufige Fragen
Was ist Kerberoasting?
Offline-Passwortangriff, der Kerberos-Service-Tickets fuer Dienstkonten anfordert und den verschluesselten Teil knackt, um deren Klartext-Passwoerter zu gewinnen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Kerberoasting?
Offline-Passwortangriff, der Kerberos-Service-Tickets fuer Dienstkonten anfordert und den verschluesselten Teil knackt, um deren Klartext-Passwoerter zu gewinnen.
Wie funktioniert Kerberoasting?
Kerberoasting nutzt aus, dass jeder authentifizierte Domain-Nutzer fuer beliebige SPNs ein TGS anfordern kann und dieses Ticket mit dem Passworthash des Dienstkontos verschluesselt ist. Der Angreifer enumeriert SPNs, fordert TGS-Tickets an (typisch mit Rubeus oder Impacket GetUserSPNs), exportiert sie und knackt sie offline mit Hashcat oder John the Ripper. Schwache, lange nicht rotierte Servicekonto-Passwoerter fallen oft binnen Stunden. MITRE ATT&CK fuehrt das als T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). Schutz: lange Zufallspasswoerter oder gMSA fuer Servicekonten, ausschliesslich AES-Kerberos, keine SPNs auf privilegierten Konten und Alarmierung bei massenhaften TGS-Anfragen mit RC4.
Wie schützt man sich gegen Kerberoasting?
Schutzmaßnahmen gegen Kerberoasting kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 584
Kerberos
Ticket-basiertes Netzwerk-Authentifizierungsprotokoll, das mit symmetrischer Kryptografie und einem vertrauenswürdigen Key Distribution Center sicheres Single Sign-On ermöglicht.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- identity-access№ 1011
Dienstkonto
Eine nichtmenschliche Identität, die eine Anwendung, ein Skript oder ein Dienst zur Authentifizierung gegenüber anderen Systemen nutzt, üblicherweise ohne interaktive Anmeldung.
- attacks№ 1045
Silver Ticket
Mit dem Hash eines bestimmten Dienstkontos gefaelschtes Kerberos-Service-Ticket (TGS), das stillen Zugriff auf genau diesen Dienst gewaehrt.
- defense-ops№ 467
Hashcat
Ein quelloffenes, GPU-beschleunigtes Passwort-Wiederherstellungswerkzeug, das Hunderte von Hash- und Authentifizierungs-Algorithmen ueber Woerterbuch-, Regel-, Masken- und Hybrid-Angriffe knackt.
- defense-ops№ 229
Credential Access
MITRE-ATT&CK-Taktik (TA0006), die Techniken zum Diebstahl von Kontonamen, Passwörtern, Token und anderen Geheimnissen bündelt.
● Siehe auch
- № 107BloodHound
- № 682Mimikatz
- № 487Honeyuser