跳转至

Kerberoasting

攻击者可能滥用有效的Kerberos票证授予票证(TGT)或嗅探网络流量以获取可能易受暴力破解攻击的票证授予服务(TGS)票证。(Citation: Empire InvokeKerberoast Oct 2016)(Citation: AdSecurity Cracking Kerberos Dec 2015) 服务主体名称(SPN)用于唯一标识每个Windows服务实例。为了启用身份验证,Kerberos要求SPN与至少一个服务登录账户(专门用于运行服务的账户(Citation: Microsoft Detecting Kerberoasting Feb 2018))相关联。(Citation: Microsoft SPN)(Citation: Microsoft SetSPN)(Citation: SANS Attacking Kerberos Nov 2014)(Citation: Harmj0y Kerberoast Nov 2016) 拥有有效Kerberos票证授予票证(TGT)的攻击者可以从域控制器(DC)请求一个或多个Kerberos票证授予服务(TGS)服务票证。(Citation: Empire InvokeKerberoast Oct 2016)(Citation: AdSecurity Cracking Kerberos Dec 2015) 这些票证的部分可能使用RC4算法加密,这意味着与SPN关联的服务账户的Kerberos 5 TGS-REP etype 23哈希被用作私钥,因此容易受到离线暴力破解攻击,可能暴露明文凭证。(Citation: AdSecurity Cracking Kerberos Dec 2015)(Citation: Empire InvokeKerberoast Oct 2016) (Citation: Harmj0y Kerberoast Nov 2016) 可以使用从网络流量中捕获的服务票证执行相同的行为。(Citation: AdSecurity Cracking Kerberos Dec 2015) 破解的哈希可能通过访问有效账户启用持久性权限提升横向移动。(Citation: SANS Attacking Kerberos Nov 2014)