Kerberoasting
O que é Kerberoasting?
KerberoastingAtaque offline de palavras-passe que solicita tickets de servico Kerberos para contas de servico e quebra a parte cifrada para recuperar as palavras-passe em claro.
O Kerberoasting aproveita o facto de qualquer utilizador autenticado no dominio poder pedir um TGS para qualquer SPN e de esse ticket ser cifrado com o hash da palavra-passe da conta de servico. O atacante enumera SPNs, pede TGSs (normalmente com Rubeus ou Impacket GetUserSPNs), exporta-os e quebra-os offline com Hashcat ou John the Ripper. Contas de servico com palavras-passe fracas ou nunca rodadas caem muitas vezes em horas. O MITRE ATT&CK regista a tecnica como T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). As defesas incluem palavras-passe longas e aleatorias ou gMSA para contas de servico, Kerberos so com AES, evitar SPNs em contas privilegiadas e alertar para pedidos massivos de TGS em RC4.
● Exemplos
- 01
Executar Rubeus kerberoast a partir de um utilizador sem privilegios para recolher TGSs e quebra-los com Hashcat.
- 02
Descobrir que um Domain Admin tem um SPN com palavra-passe fraca e escalar para compromisso total do dominio.
● Perguntas frequentes
O que é Kerberoasting?
Ataque offline de palavras-passe que solicita tickets de servico Kerberos para contas de servico e quebra a parte cifrada para recuperar as palavras-passe em claro. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Kerberoasting?
Ataque offline de palavras-passe que solicita tickets de servico Kerberos para contas de servico e quebra a parte cifrada para recuperar as palavras-passe em claro.
Como funciona Kerberoasting?
O Kerberoasting aproveita o facto de qualquer utilizador autenticado no dominio poder pedir um TGS para qualquer SPN e de esse ticket ser cifrado com o hash da palavra-passe da conta de servico. O atacante enumera SPNs, pede TGSs (normalmente com Rubeus ou Impacket GetUserSPNs), exporta-os e quebra-os offline com Hashcat ou John the Ripper. Contas de servico com palavras-passe fracas ou nunca rodadas caem muitas vezes em horas. O MITRE ATT&CK regista a tecnica como T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). As defesas incluem palavras-passe longas e aleatorias ou gMSA para contas de servico, Kerberos so com AES, evitar SPNs em contas privilegiadas e alertar para pedidos massivos de TGS em RC4.
Como se defender contra Kerberoasting?
As defesas contra Kerberoasting costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 584
Kerberos
Protocolo de autenticação de rede baseado em tickets que utiliza criptografia simétrica e um Centro de Distribuição de Chaves confiável para oferecer SSO seguro entre serviços.
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- identity-access№ 1011
Conta de serviço
Identidade não humana usada por uma aplicação, script ou serviço para se autenticar noutros sistemas, normalmente sem início de sessão interativo.
- attacks№ 1045
Silver Ticket
Ticket de servico Kerberos (TGS) forjado com o hash de uma conta de servico alvo, concedendo acesso silencioso apenas a esse servico.
- defense-ops№ 467
Hashcat
Ferramenta open source de recuperacao de senhas acelerada por GPU que quebra centenas de algoritmos de hash e autenticacao via dicionario, regras, mascara e ataques hibridos.
- defense-ops№ 229
Acesso a Credenciais
Tática MITRE ATT&CK (TA0006) que reúne técnicas usadas para roubar nomes de conta, palavras-passe, tokens e outros segredos.
● Veja também
- № 107BloodHound
- № 682Mimikatz
- № 487Honeyuser