Nicht authentifiziertes Kerberoasting

medium

Beschreibung

Kerberoasting ist ein Angriffstyp, der auf Anmeldeinformationen von Active Directory-Dienstkonten abzielt, um Passwörter offline zu knacken. Bei diesem Angriff wird versucht, sich durch Anfordern von Diensttickets Zugriff auf Dienstkonten zu verschaffen und dann die Anmeldeinformationen des Dienstkontos offline zu knacken. Die klassische Kerberoasting-Methode wird vom IoA Kerberoasting abgedeckt. Wie im Namen des Indikators angegeben, gibt es eine weitere Möglichkeit, einen Kerberoasting-Angriff durchzuführen. Hierbei wird eine getarnte Herangehensweise verwendet, die viele Erkennungsmethoden umgehen könnte. Diese Methode wird vermutlich von erfahrenen Angreifern bevorzugt, da sie hoffen, damit für die meisten Erkennungsheuristiken unsichtbar zu bleiben.

Siehe auch

CISA - Security Tip (ST04-002) - Choosing and Protecting Passwords

Microsoft documentation - Service Accounts

MITRE ATT&CK description

New Attack Paths? AS Requested Service Tickets

Indikatordetails

Name: Nicht authentifiziertes Kerberoasting

Codename: I-UnauthKerberoasting

Schweregrad: Medium

MITRE ATT&CK-Informationen:
ID: T1558.003
Unterverfahren von: **T1558**
Taktik: TA0006