💭 Jeremys Brain

kerberoast-asrep-tools

3 min read

Kerberoasting und AS-REP Roasting Tools: Eine detaillierte Erklärung

Einleitung

In der Welt der Informationssicherheit sind Kerberoasting und AS-REP Roasting bekannte Techniken, die Schwachstellen in Active Directory (AD) Umgebungen ausnutzen. Sie ermöglichen es Angreifern, verschlüsselte Anmeldeinformationen zu erlangen, die offline geknackt werden können. Dieser Beitrag bietet eine tiefgehende Erklärung dieser Techniken und stellt die wichtigsten Tools vor, die dabei zum Einsatz kommen.

Kerberoasting

Hintergrund

Kerberoasting zielt auf das Kerberos-Authentifizierungsprotokoll ab, das in AD-Umgebungen verwendet wird. Die Technik nutzt Schwachstellen bei der Service Ticket Vergabe aus, um verschlüsselte Passworthashes von Service Accounts zu erlangen.

Funktionsweise

  1. Identifizierung von Service Principal Names (SPNs): SPNs sind eindeutige Bezeichnungen für Dienste in einer AD-Umgebung. Angreifer suchen nach SPNs, die mit Benutzerkonten verknüpft sind.

  2. Anfordern von Service Tickets (TGS): Mit gültigen Benutzerrechten fordern Angreifer TGS-Tickets für die identifizierten SPNs an.

  3. Extraktion des verschlüsselten Passworts: Die erhaltenen Tickets enthalten Teile, die mit dem Passwort des Service Accounts verschlüsselt sind.

  4. Offline-Kennwort-Cracking: Diese verschlüsselten Daten können offline mittels Brute-Force- oder Wörterbuchangriffen geknackt werden.

Wichtige Tools

  • Impacket: Eine Python-Bibliothek, die verschiedene Netzwerkprotokolle implementiert. Das Skript GetUserSPNs.py extrahiert SPNs und entsprechende Tickets.

  • Rubeus: Ein mächtiges C#-Tool für Kerberos-bezogene Angriffe. Es bietet Funktionen zum Anfordern von Service Tickets und Exportieren für das Offline-Cracking.

  • PowerView: Ein PowerShell-Modul zur Active Directory-Erkundung. Es hilft bei der Auflistung von SPNs und Service Accounts.

AS-REP Roasting

Hintergrund

AS-REP Roasting richtet sich gegen Benutzerkonten, die keine Kerberos Pre-Authentication erfordern. Dies ermöglicht es, verschlüsselte Anmeldeinformationen ohne vorherige Authentifizierung zu erhalten.

Funktionsweise

  1. Suche nach konten ohne Pre-Authentication: Konten mit deaktivierter Pre-Authentication sind anfällig. Das Flag DONT_REQ_PREAUTH ist dabei gesetzt.

  2. Anfordern von AS-REP Nachrichten: Ohne Pre-Authentication sendet das AD eine AS-REP Nachricht, die mit dem Passworthash des Benutzers verschlüsselt ist.

  3. Offline-Kennwort-Cracking: Die erhaltenen verschlüsselten Daten können offline geknackt werden, ähnlich wie beim Kerberoasting.

Wichtige Tools

  • Impacket: Das Skript GetNPUsers.py ermöglicht das Abrufen von AS-REP Nachrichten für anfällige Konten.

  • Rubeus: Neben Kerberoasting unterstützt Rubeus auch AS-REP Roasting und kann entsprechende Tickets anfordern.

  • Kerbrute: Ein Go-basiertes Tool für das Bruteforcing von Kerberos-Anmeldedaten und das Identifizieren von Konten ohne Pre-Authentication.

Verteidigungsstrategien

Obwohl dieser Artikel sich auf die Angriffstechniken konzentriert, ist das Verständnis der Verteidigungsmaßnahmen entscheidend:

  • Aktivierung der Pre-Authentication: Stellen Sie sicher, dass für alle Konten die Kerberos Pre-Authentication aktiviert ist.

  • Passwortkomplexität erhöhen: Verwenden Sie lange und komplexe Passwörter, um das Offline-Cracking zu erschweren.

  • Service Accounts überwachen: Minimieren Sie die Anzahl der Service Accounts und überwachen Sie deren Verwendung regelmäßig.

  • Konten ohne SPNs überprüfen: Stellen Sie sicher, dass normale Benutzerkonten nicht mit SPNs verknüpft sind.

Fazit

Kerberoasting und AS-REP Roasting sind effektive Methoden, um Anmeldeinformationen in AD-Umgebungen zu kompromittieren. Durch ein tiefes Verständnis dieser Techniken und den Einsatz geeigneter Verteidigungsmaßnahmen können Organisationen ihre Sicherheitsposition erheblich verbessern.

Tags

KerberoastingASREPRoastingActiveDirectorySicherheitPenetrationTestingCybersecurityImpacketRubeusPowerViewKerbrute

Gehacktes-Overview

Graph View