Kerberoasting sin autenticar

medium

Descripción

Kerberoasting es un tipo de ataque que tiene como objetivo las credenciales de cuentas de servicio de Active Directory para descifrar contraseñas sin conexión. Este ataque busca acceder a las cuentas de servicio mediante la solicitud de tickets de servicio y, luego, el descifrado sin conexión de las credenciales de las cuentas de servicio. El método de Kerberoasting clásico se trata en el indicador de ataque Kerberoasting. Como se menciona en el nombre del indicador, hay otro método para llevar a cabo un ataque de Kerberoasting, con un enfoque sigiloso que podría saltarse un montón de detecciones. Las atacantes avanzados podrían preferir este método con la esperanza de mantenerse invisibles a la mayor parte de la heurística de detección.

Consulte también

MITRE ATT&CK description

New Attack Paths? AS Requested Service Tickets

CISA - Choosing and Protecting Passwords

Microsoft documentation - Service Accounts

Detalles del indicador

Nombre: Kerberoasting sin autenticar

Nombre en clave: I-UnauthKerberoasting

Gravedad: Medium

Tipo: Indicator of Attack

Información de MITRE ATT&CK:
Identificador: T1558.003
Subtécnica de: T1558
Táctica: TA0006
Permisos necesarios: **usuario, raíz**