Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 654

Kerberoasting

ПроверилCybersecurity entrepreneur & security researcher

Что такое Kerberoasting?

KerberoastingОффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде.


Kerberoasting, впервые описанный Тимом Медином на DerbyCon в 2014 году, эксплуатирует ключевое свойство Kerberos: любой аутентифицированный пользователь домена может запросить билет службы (TGS-REP) для любого Service Principal Name (SPN), и часть этого билета зашифрована хешем NTLM-пароля сервисной учётной записи. Атакующий вообще не касается целевой службы — он перечисляет SPN (через LDAP, setspn, Rubeus или GetUserSPNs из Impacket), запрашивает билеты, экспортирует зашифрованные блобы и взламывает их оффлайн с помощью Hashcat (режим 13100) или John the Ripper. Не требуется ни повышенных прав, ни возникает блокировок учётных записей, поэтому сервисные учётки со слабыми, давно не сменяемыми паролями нередко вскрываются за часы.

Риск максимален для устаревших билетов RC4-HMAC (etype 23), которые взламываются гораздо быстрее AES; атакующие часто намеренно понижают запросы до RC4. MITRE ATT&CK отслеживает это как T1558.003. Это любимый приём аффилиатов вымогателей, и он был ключевым в широко освещавшихся компрометациях Active Directory, поскольку сервисные учётки обычно обладают избыточными привилегиями. Защита: использование случайных паролей длиной 25+ символов или групповых управляемых сервисных учётных записей (gMSA/dMSA) с автоматической ротацией, принудительное применение типов шифрования AES, удаление лишних SPN с привилегированных учёток, развёртывание honeypot-SPN и оповещения о событии Event ID 4769 при массовых запросах билетов RC4.

flowchart TD
  A[Непривилегированный пользователь домена] -->|"1. Перечисление SPN через LDAP"| B[Active Directory]
  A -->|"2. Запрос TGS для SPN (форсирование RC4)"| C[KDC / Контроллер домена]
  C -->|"3. TGS-REP, зашифрованный<br/>хешем сервисной учётки"| A
  A -->|"4. Экспорт билета"| D[Оффлайн-взлом<br/>Hashcat режим 13100]
  D -->|"5. Восстановлен слабый пароль"| E[Компрометация сервисной учётки<br/>→ латеральное перемещение / DA]

Примеры

  1. 01

    Запуск Rubeus kerberoast от непривилегированного пользователя для сбора TGS с последующим взломом через Hashcat.

  2. 02

    Обнаружение SPN у учётной записи Domain Admin со слабым паролем и эскалация до компрометации домена.

Частые вопросы

Что такое Kerberoasting?

Оффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Kerberoasting?

Оффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде.

Как защититься от Kerberoasting?

Защита от Kerberoasting обычно сочетает технические меры и операционные практики, как описано в определении выше.

Связанные термины

См. также