未经身份验证的 Kerberoasting

medium

描述

在 Kerberoasting 类型的攻击中,攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据,以便离线破解密码。此攻击旨在通过请求服务票据,然后离线破解该服务帐户的凭据,来获取服务帐户的访问权限。Kerberoasting IoA 已涵盖经典的 Kerberoasting 方法。正如指标名称所述,有另一种使用隐蔽方法进行 Kerberoasting 攻击的方式,这种方式可以绕过许多检测机制。高级攻击者可能会偏好使用这种方式以避开大部分检测启发式方法。

另见

New Attack Paths? AS Requested Service Tickets

MITRE ATT&CK description

CISA - Security Tip (ST04-002) - Choosing and Protecting Passwords

Microsoft documentation - Service Accounts

指标详细信息

名称: 未经身份验证的 Kerberoasting

代码名称: I-UnauthKerberoasting

严重程度: Medium

MITRE ATT&CK 信息:
ID:T1558.003
子技术归属:T1558
策略:TA0006