AS-REP Roasting(AS-REP 烤制攻击)
AS-REP Roasting(AS-REP 烤制攻击) 是什么?
AS-REP Roasting(AS-REP 烤制攻击)一种 Active Directory 攻击,针对禁用了 Kerberos 预身份验证的账户请求 AS-REP 消息,再离线破解返回的加密数据块以还原用户口令。
AS-REP Roasting 是一种针对 Active Directory 账户的离线口令破解攻击,目标是那些禁用了 Kerberos 预身份验证的账户(即设置了「不要求 Kerberos 预身份验证」标志,DONT_REQ_PREAUTH)。通常,预身份验证会强制客户端在密钥分发中心(KDC)签发认证票据之前先证明其掌握口令。一旦关闭该机制,任何未经身份验证的攻击者都可向 KDC 请求该账户的 AS-REP;响应的一部分使用由用户口令哈希派生的密钥加密。攻击者捕获该数据块后,使用 Hashcat(模式 18200)或 John the Ripper 等工具离线破解弱口令,且不会触发账户锁定。与 Kerberoasting 不同,它甚至无需有效的域账户即可枚举存在漏洞的用户。防御措施包括避免设置禁用预身份验证的标志、强制使用强口令,以及监控缺少预身份验证的 AS-REQ 请求。
● 示例
- 01
渗透测试人员运行 Rubeus asreproast 列出禁用了预身份验证的域账户,并导出哈希用于离线破解。
- 02
Impacket 的 GetNPUsers.py 获取存在漏洞用户的 AS-REP 哈希,随后用 Hashcat 模式 18200 进行破解。
● 常见问题
AS-REP Roasting(AS-REP 烤制攻击) 是什么?
一种 Active Directory 攻击,针对禁用了 Kerberos 预身份验证的账户请求 AS-REP 消息,再离线破解返回的加密数据块以还原用户口令。 它属于网络安全的 攻击与威胁 分类。
AS-REP Roasting(AS-REP 烤制攻击) 是什么意思?
一种 Active Directory 攻击,针对禁用了 Kerberos 预身份验证的账户请求 AS-REP 消息,再离线破解返回的加密数据块以还原用户口令。
AS-REP Roasting(AS-REP 烤制攻击) 是如何工作的?
AS-REP Roasting 是一种针对 Active Directory 账户的离线口令破解攻击,目标是那些禁用了 Kerberos 预身份验证的账户(即设置了「不要求 Kerberos 预身份验证」标志,DONT_REQ_PREAUTH)。通常,预身份验证会强制客户端在密钥分发中心(KDC)签发认证票据之前先证明其掌握口令。一旦关闭该机制,任何未经身份验证的攻击者都可向 KDC 请求该账户的 AS-REP;响应的一部分使用由用户口令哈希派生的密钥加密。攻击者捕获该数据块后,使用 Hashcat(模式 18200)或 John the Ripper 等工具离线破解弱口令,且不会触发账户锁定。与 Kerberoasting 不同,它甚至无需有效的域账户即可枚举存在漏洞的用户。防御措施包括避免设置禁用预身份验证的标志、强制使用强口令,以及监控缺少预身份验证的 AS-REQ 请求。
如何防御 AS-REP Roasting(AS-REP 烤制攻击)?
针对 AS-REP Roasting(AS-REP 烤制攻击) 的防御通常结合技术控制与运营实践,详见上方完整定义。
AS-REP Roasting(AS-REP 烤制攻击) 还有哪些其他名称?
常见的别称包括: ASREP Roasting, AS-REP 烤制。
● 相关术语
- attacks№ 654
Kerberoasting
一种针对服务账户的离线口令破解攻击:申请 Kerberos 服务票据并对其加密部分进行离线破解,以还原明文密码。
- identity-access№ 655
Kerberos
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
- identity-access№ 014
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- defense-ops№ 255
凭据访问
MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
- attacks№ 888
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。
- attacks№ 500
黄金票据
使用 krbtgt 账户哈希签名伪造的 Kerberos TGT,使攻击者可在整个域中冒充任意主体。