AS-REP Roasting и Kerberoasting — это техники атаки на инфраструктуру Active Directory, направленные на получение хешей паролей для последующего взлома.

Kerberoasting: атакующий запрашивает сервисный билет (TGS) для сервисной учётной записи, которая имеет SPN (Service Principal Name). Этот билет зашифрован ключом, основанным на пароле сервисной учётной записи. Получив билет, атакующий извлекает из него зашифрованную часть и пытается подобрать пароль оффлайн.
AS-REP Roasting: применяется к учётным записям, у которых отключена опция "Do not require Kerberos preauthentication". В этом случае при запросе AS-REP (ответа на запрос аутентификации) атакующий получает ответ, зашифрованный ключом, основанным на пароле пользователя, без необходимости предварительной аутентификации. Это позволяет получить хеш пароля для оффлайн-атаки.

Основное отличие в том, что Kerberoasting нацелен на сервисные учётные записи с SPN, а AS-REP Roasting — на обычные учётные записи с отключённой предварительной аутентификацией.

Чем AS-REP Roasting отличается от Kerberoasting?