CAPEC -CAPEC -509：Kerberoasting（版本3.9）


常见的攻击模式枚举和分类识别和理解攻击的社区资源

家>CAPEC列表> CAPEC-509：Kerberoasting（版本3.9）

CAPEC-509：Kerberoasting

攻击模式ID：509

抽象：详细的

查看自定义信息：

描述

通过利用服务帐户如何利用服务主名称（SPNS）的Kerberos身份验证，对手获得并随后破解了服务帐户目标的Hashed凭证以利用其特权。Kerberos身份验证协议围绕票务系统，用于请求/授予对服务的访问，然后访问请求的服务。作为经过身份验证的用户，对手可以请求Active Directory，并获得通过RC4加密的一部分的服务票，并使用身份验证的帐户的私钥进行加密。通过提取本地票证并保存磁盘，对手可以强迫散列值以揭示目标帐户凭据。

典型的严重程度

高的

关系

该表显示了与此攻击模式相关的其他攻击模式和高级类别。这些关系定义为childof和parentof，并深入了解可能存在于较高和较低抽象水平的类似项目。此外，定义了诸如Canfollow，Peerof和Canalsobe之类的关系，以显示用户可能想要探索的类似攻击模式。

自然	类型	ID	名称
Childof	标准攻击模式 - CAPEC中的标准水平攻击模式集中在攻击中使用的特定方法或技术上。它通常被视为完全执行的攻击的单一奇异部分。标准攻击模式旨在提供足够的细节，以了解特定技术以及如何实现所需目标。标准水平攻击模式是更抽象的元水平攻击模式的特定类型。	652	使用已知Kerberos凭证
canpreceede	元攻击模式 - CAPEC中的元级攻击模式是对攻击中使用的特定方法或技术的绝对抽象表征。元攻击模式通常没有特定的技术或实施，旨在提供对高级方法的理解。元级攻击模式是对标准级攻击模式相关组的概括。元水平攻击模式对于架构和设计水平威胁建模练习特别有用。	151	身份欺骗

该表显示了此攻击模式属于该视图中的最高级别类别的视图。

查看名称	顶级类别
攻击域	软件
攻击机制	颠覆访问控制

执行流

探索

扫描带有SPN值的用户帐户

技术
这些可以通过PowerShell或LDAP查询找到，以及列举启动名称帐户和其他方式。

请求服务票

技术
使用用户帐户的SPN值，请从Active Directory请求其他服务票

实验

提取票并保存到磁盘

技术
像Mimikatz这样的某些工具可以提取本地门票并将其保存到内存/磁盘中。

开发

破解收获纯文本证书的加密票

技术
在离线的哈希值上利用蛮力应用程序/脚本，直到破裂为止。密码越短，破解就越容易。

先决条件

对手需要在系统上作为身份验证的用户访问。这种攻击模式与提升特权有关。

对手需要使用第三方凭证收获工具（例如Mimikatz）。

对手需要一个蛮力工具。

所需技能

[级别：媒介]

结果

该表指定与攻击模式相关的不同个人后果。该范围确定了违反的安全财产，而影响描述了如果对手在攻击中成功，就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如，可能会有很高的可能性将模式用于实现一定的影响，但是将其利用以实现不同影响的可能性很小。

范围	影响	可能性
保密	获得特权

缓解

监视系统和域日志，用于异常访问。

为服务帐户采用强大的密码策略。密码应该具有足够的长度和复杂性，并且一段时间后应过期。

采用至少特权的原则：将服务帐户特权限制为功能所需的内容，而不再需要。

在可能的情况下，启用AES Kerberos加密（或其他更强的加密算法），而不是RC4。

示例实例

PowerSploit的Invoke-Kerberoast模块可以利用申请票证授予服务（TGS）票，并退还可裂缝的门票。[[Ref-585] [Ref-586这是给予的

相关弱点

相关的弱点关系将弱点与这种攻击模式相关联。每个关联都意味着要成功的攻击必须存在的弱点。如果多个弱点与攻击模式相关联，则可能存在任何弱点（但不一定是全部）以使攻击成功。每个相关的弱点均由CWE标识符确定。

CWE-ID	弱点名称
522	不充分保护凭据
308	使用单因素身份验证
309	使用密码系统进行主要身份验证
294	通过捕获重新播放的身份验证旁路
263	密码老化长期到期
262	不使用密码老化
521	密码要求弱

分类映射

CAPEC映射到ATT＆CK技术利用继承模型来简化和最大程度地减少Direct Capec/ATT＆CK映射。映射的继承通过文本表示，表明父级CAPEC具有相关的ATT＆CK映射。请注意，ATT＆CK Enterprise框架不使用继承模型作为映射CAPEC的一部分。

与ATT＆CK分类法映射有关（也请参见父母）

条目ID	条目名称
1558.003	窃取或伪造科伯罗斯门票：Kerberoasting

参考

[Ref-559] Jeff Warren。“使用KerberoAsting提取服务帐户密码”。2017-05-09。<https://blog.stealthbits.com/extracting-service-account-passwords-with-kerberoasting/>。

[Ref-585]“没有Mimikatz的Kerberoasting”。2016-11-01。<https://www.harmj0y.net/blog/powershell/kerberoasting-without-mimikatz/>。URL验证：2020-05-15。

[Ref-586]“ Indoke-Kerberoast”。<https://powersploit.readthedocs.io/en/latest/recon/invoke-kerberoast/>。URL验证：2020-05-15。

内容历史记录

提交
提交日期	提交者	组织
2019-04-04 （版本3.1）	CAPEC内容团队	manbetx客户端首页
2019-04-04 （版本3.1）
修改
修改日期	修饰符	组织
2020-07-30 （版本3.3）	CAPEC内容团队	manbetx客户端首页
2020-07-30 （版本3.3）	更新@Status，example_instances，参考，相关信息
2020-12-17 （版本3.4）	CAPEC内容团队	manbetx客户端首页
2020-12-17 （版本3.4）	更新的execution_flow

提供更多信息 - 请选择其他过滤器。

页面最后更新或审查：2021年10月21日


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用公共攻击模式枚举和分类（CAPEC）以及本网站的相关参考使用条款。Capec由美国国土安全部（DHS）网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所（HSSEDI）由manbetx客户端首页（MITER）。版权所有©2007–2023，Miter Comanbetx客户端首页rporation。CAPEC和CAPEC徽标是Miter Corporation的商标。manbetx客户端首页

常见的攻击模式枚举和分类

CAPEC-509：Kerberoasting