Какие атаки на инфраструктуру Active Directory вы знаете? Расскажите о Kerberoasting.

Атаки на инфраструктуру Active Directory (AD) включают в себя:

• Kerberoasting — атака на сервисные учетные записи, использующая запросы на Kerberos Ticket Granting Service (TGS) для получения зашифрованных билетов, которые можно взломать оффлайн, чтобы получить пароль сервисной учетной записи.
• Pass-the-Hash (PtH) — использование хэшей паролей для аутентификации без знания самого пароля.
• Golden Ticket — создание поддельного Kerberos Ticket Granting Ticket (TGT) с помощью ключа KRBTGT, что даёт полный контроль над доменом.
• Silver Ticket — подделка сервисных билетов (TGS) для доступа к конкретным сервисам.
• DCShadow — внедрение поддельного контроллера домена для изменения объектов AD.
• Overpass-the-Hash (Pass-the-Key) — получение Kerberos TGT, используя хэш пароля.

Kerberoasting

Это атака, при которой злоумышленник запрашивает у контроллера домена Kerberos TGS для сервисных учетных записей (обычно с SPN — Service Principal Name). Полученный билет зашифрован паролем сервисной учетной записи. Злоумышленник сохраняет этот билет и пытается взломать его оффлайн, используя методы перебора или словари, чтобы получить пароль сервисной учетной записи.

Пример сценария:

1. Злоумышленник получает доступ к домену с обычной учетной записью.
2. Запрашивает TGS для сервисных аккаунтов с помощью утилит (например, Rubeus или Impacket).
3. Извлекает зашифрованные билеты.
4. Пытается взломать пароли сервисных аккаунтов оффлайн.

Если пароль слабый, злоумышленник получает доступ к сервисной учетной записи, что может привести к дальнейшему расширению привилегий в сети.