Kerberoasting攻撃とは【用語集詳細】


この攻撃は、標的のシステムに侵入した攻撃者が、 さらにアクセス範囲を増大させる過程で用いられます。
パスワードクラッキングはActive Directoryとの通信を介さずオフラインで行われ、 検知が困難である点が、攻撃者に多用されている理由です。
攻撃者は初めに、侵害したアカウントを通じてSPN( Service Principal Name、各サービスインスタンスの識別子) の一覧を入手します。
その後、攻撃者は、TGTを用いて、 ドメインコントローラやWebサーバなどのSPNと紐づいたTGS サービスチケットを要求します。あるいは、 ネットワークを盗聴することによりTGSサービスチケットを入手 することもあります。
入手した資格情報(パスワード)は、 標的ネットワーク内の水平展開や特権昇格、 持続性確保に用いられます。
Kerberoasting攻撃には、 Rubeusなどの自動化ツールが既に存在します。TGSサービスチケット入手後のパスワード入手にはhashcat、JohnTheRipperなどのクラッキングツールが使われています。
Kerberoasting攻撃には、
この攻撃方法は2014年、Tim Medin氏によって発見されました。