Kerberoasting
Angriffstechnik gegen Active Directory, bei der Kerberos-Service-Tickets angefordert und offline geknackt werden, um Passwörter von Service Accounts zu erlangen.
Kerberoasting ist eine der effektivsten Angriffstechniken gegen Active-Directory-Umgebungen. Der Angriff nutzt eine legitime Funktion des Kerberos-Protokolls aus: Jeder authentifizierte Domänenbenutzer kann Service Tickets (TGS) für beliebige Service Principal Names (SPNs) anfordern. Diese Tickets sind mit dem Passwort-Hash des zugehörigen Service Accounts verschlüsselt — und können offline geknackt werden, ohne weiteren Netzwerkverkehr zu erzeugen.
Wie funktioniert der Angriff?
Der Angriff läuft in vier Schritten ab: Zuerst verschafft sich der Angreifer Zugang zu einem beliebigen Domänenkonto — dafür genügt ein normaler Benutzer ohne erhöhte Rechte. Dann enumeriert er Service Accounts mit registrierten SPNs über LDAP-Abfragen. Im dritten Schritt fordert er TGS-Tickets für diese SPNs an, was eine völlig normale Kerberos-Operation ist. Schließlich extrahiert er die Tickets und knackt sie offline mit Tools wie Hashcat oder John the Ripper.
Warum ist Kerberoasting so gefährlich?
Die Technik ist aus mehreren Gründen besonders tückisch: Sie erfordert keine erhöhten Rechte — ein normaler Domänenbenutzer genügt. Das Anfordern von Service Tickets ist eine legitime Operation, die in den meisten Umgebungen nicht auffällt. Der eigentliche Crack-Vorgang findet offline statt und ist damit für das Netzwerk unsichtbar. Viele Service Accounts haben schwache Passwörter, die nie rotiert werden, und verfügen gleichzeitig über weitreichende Berechtigungen.
Erkennung
| Erkennungsmethode | Details |
|---|---|
| Event ID 4769 | TGS-Anfragen mit RC4-Verschlüsselung (Encryption Type 0x17) |
| Anomalie-Erkennung | Ungewöhnlich viele TGS-Anfragen von einem Benutzer |
| Honey Accounts | Service Accounts mit SPN als Köder, deren Ticket-Anfragen sofort alarmieren |
| SIEM-Korrelation | Kombination aus 4769-Events und anschließendem lateralen Movement |
Die Überwachung von Event ID 4769 im Windows Security Log ist der wichtigste Indikator. Dabei sollte gezielt nach Anfragen mit RC4-Verschlüsselung gefiltert werden, da legitime Anwendungen in modernen Umgebungen AES verwenden sollten.
Gegenmaßnahmen
Die wirksamste Gegenmaßnahme ist der Einsatz von Group Managed Service Accounts (GMSA). Diese verwenden automatisch generierte, komplexe Passwörter mit 120 Zeichen, die regelmäßig rotiert werden — ein Offline-Crack ist damit praktisch ausgeschlossen. Wo GMSA nicht möglich ist, sollten Service Accounts mindestens 25 Zeichen lange, zufällig generierte Passwörter verwenden und auf AES-256-Verschlüsselung umgestellt werden (RC4 deaktivieren). Ein sauberes Tiering-Modell stellt sicher, dass Service Accounts nur die minimal notwendigen Berechtigungen erhalten. PAM-Lösungen ergänzen dies durch automatische Passwort-Rotation und Monitoring.
Relevanz für KMUs
Kerberoasting ist besonders in mittelständischen Umgebungen erfolgreich, weil Service Accounts dort oft seit Jahren mit demselben Passwort laufen und häufig über Domain-Admin-Rechte verfügen. Eine Inventarisierung aller Service Accounts mit SPNs und die Migration auf GMSA gehört zu den wirkungsvollsten Maßnahmen zur Absicherung einer Active-Directory-Umgebung.