Kerberoasting
Что такое Kerberoasting?
KerberoastingОффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде.
Kerberoasting эксплуатирует тот факт, что любой аутентифицированный пользователь домена может запросить TGS для любого SPN, а сам билет шифруется хешем пароля сервисной учётной записи. Атакующий перечисляет SPN, запрашивает TGS (обычно Rubeus или Impacket GetUserSPNs), экспортирует их и взламывает оффлайн с помощью Hashcat или John the Ripper. Сервисные учётки со слабыми и давно не сменяемыми паролями часто вскрываются за часы. MITRE ATT&CK классифицирует технику как T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). Защита: длинные случайные пароли или gMSA для сервисов, только AES в Kerberos, отказ от SPN на привилегированных учётках и оповещения о массовых запросах TGS с шифрованием RC4.
● Примеры
- 01
Запуск Rubeus kerberoast от непривилегированного пользователя для сбора TGS с последующим взломом через Hashcat.
- 02
Обнаружение SPN у учётной записи Domain Admin со слабым паролем и эскалация до контроля над доменом.
● Частые вопросы
Что такое Kerberoasting?
Оффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Kerberoasting?
Оффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде.
Как работает Kerberoasting?
Kerberoasting эксплуатирует тот факт, что любой аутентифицированный пользователь домена может запросить TGS для любого SPN, а сам билет шифруется хешем пароля сервисной учётной записи. Атакующий перечисляет SPN, запрашивает TGS (обычно Rubeus или Impacket GetUserSPNs), экспортирует их и взламывает оффлайн с помощью Hashcat или John the Ripper. Сервисные учётки со слабыми и давно не сменяемыми паролями часто вскрываются за часы. MITRE ATT&CK классифицирует технику как T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). Защита: длинные случайные пароли или gMSA для сервисов, только AES в Kerberos, отказ от SPN на привилегированных учётках и оповещения о массовых запросах TGS с шифрованием RC4.
Как защититься от Kerberoasting?
Защита от Kerberoasting обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 584
Kerberos
Сетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- identity-access№ 1011
Сервисная учётная запись
Нечеловеческая идентичность, используемая приложением, скриптом или сервисом для аутентификации в других системах, как правило, без интерактивного входа.
- attacks№ 1045
Silver Ticket
Поддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису.
- defense-ops№ 467
Hashcat
Открытый инструмент восстановления паролей с GPU-ускорением, взламывающий сотни алгоритмов хеширования и аутентификации с помощью словарных, правиловых, масочных и гибридных атак.
- defense-ops№ 229
Доступ к учётным данным (Credential Access)
Тактика MITRE ATT&CK (TA0006), охватывающая техники кражи имён учётных записей, паролей, токенов и других секретов.
● См. также
- № 107BloodHound
- № 682Mimikatz
- № 487Хани-юзер (Honeyuser)