Kerberoasting.

サービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分をオフラインで解析して平文パスワードを取り出すオフラインパスワード攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

サービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分をオフラインで解析して平文パスワードを取り出すオフラインパスワード攻撃。

Kerberoasting は、ドメインの認証済みユーザならば任意の SPN に対して TGS を要求でき、その TGS がそのサービスアカウントのパスワードハッシュで暗号化されているという仕様を悪用します。攻撃者は SPN を列挙し、Rubeus や Impacket の GetUserSPNs などで TGS を取得・エクスポートし、Hashcat や John the Ripper でオフライン解析します。弱いままローテーションされていないサービスアカウントは数時間で陥落することも珍しくありません。MITRE ATT&CK では T1558.003(Steal or Forge Kerberos Tickets: Kerberoasting)として整理されています。対策としては、サービスアカウントに長いランダムパスワードまたは gMSA を採用、AES のみの Kerberos、特権アカウントへの SPN 付与の回避、RC4 を要求する大量の TGS リクエストへのアラートが挙げられます。

Kerberoasting に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。