Skip to content

Führen Sie mich durch Kerberoasting — wie es funktioniert, warum es möglich ist und wie Verteidiger es stoppen.

Kurzantwort

Jeder authentifizierte Domänenbenutzer kann ein Kerberos-Service-Ticket (TGS) für jedes Konto mit einem SPN anfordern. Dieses Ticket ist mit dem NTLM-Passwort-Hash des Dienstkontos verschlüsselt, sodass Sie es extrahieren und das Passwort offline knacken — kein privilegierter Zugriff zu Beginn nötig, und es ist nahezu lautlos.

Kerberoasting ist einer der zuverlässigsten Active-Directory-Angriffe, weil er Kerberos genau so missbraucht, wie es konzipiert wurde. Er benötigt zum Start nur ein einziges gültiges Domänenkonto, weshalb er ein fester Bestandteil interner Einsätze ist.

Wie Kerberos den Boden bereitet

In Kerberos werden Dienste durch einen Service Principal Name (SPN) identifiziert. Wenn ein Benutzer einen Dienst nutzen möchte, stellt das Key Distribution Center ein TGS (Service-Ticket) aus, das mit dem Passwort-Hash des Dienstkontos (dessen NTLM/RC4-Schlüssel oder AES-Schlüssel) verschlüsselt ist. Die Idee: Nur der legitime Dienst, der sein eigenes Passwort kennt, kann das Ticket entschlüsseln und validieren.

Der Missbrauch

Der Fehler liegt darin, wer fragen darf. Jeder authentifizierte Domänenbenutzer kann ein TGS für jeden SPN anfordern — das KDC prüft nicht, ob Sie tatsächlich berechtigt sind, diesen Dienst zu nutzen. Ein Angreifer geht also so vor:

  1. Zählt Konten mit SPNs auf (oft normale Benutzer-Konten, die Dienste betreiben — SQL, IIS usw.) via LDAP.
  2. Fordert TGS-Tickets für sie an (Werkzeuge: Rubeus, Impackets GetUserSPNs.py).
  3. Extrahiert das verschlüsselte Ticket und knackt es offline mit Hashcat. Ist das Passwort des Dienstkontos schwach, fällt es in Stunden.

Entscheidend: Das Knacken erfolgt offline, also gibt es keine fehlgeschlagenen Anmeldungen, keine Sperrungen und minimalen Lärm. Angreifer fordern oft RC4 (etype 23)-Tickets an, da sie schneller zu knacken sind als AES.

Warum Dienstkonten die Beute sind

Dienstkonten haben häufig alte, nicht ablaufende, schwache Passwörter und sind überprivilegiert — manchmal Domänen-Admins. Knacken Sie eines, springen Sie möglicherweise direkt zu hohen Privilegien.

Verteidigung

  • Verwenden Sie lange, zufällige Passwörter (25+ Zeichen) für Dienstkonten oder group Managed Service Accounts (gMSAs), die automatisch rotieren.
  • Erzwingen Sie AES und deaktivieren Sie RC4, wo möglich.
  • Wenden Sie das Least-Privilege-Prinzip auf Dienstkonten an.
  • Erkennen Sie Spitzen bei Event ID 4769, insbesondere RC4-Ticket-Anfragen von einem einzelnen Benutzer.

Worauf Interviewer achten

Dass Sie erklären, warum es funktioniert (jeder kann ein TGS anfordern, Offline-Knacken = Tarnung), echte Werkzeuge benennen, den RC4-Aspekt hervorheben und sauber zu gMSAs und 4769-Überwachung als Behebung überleiten.

Wahrscheinliche Anschlussfragen

  • Warum erleichtert das Anfordern von RC4-verschlüsselten (etype 23) Tickets das Knacken?
  • Was macht Dienstkonten zu so guten Zielen, und wie helfen gMSAs?
  • Wie würde ein Verteidiger Kerberoasting in seinen Protokollen erkennen?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.