Het authenticatieprotocol dat vernoemd is naar de driekoppige hellehond uit de Griekse mythologie. Dat had een waarschuwing moeten zijn. Drie koppen. Drie manieren om gebeten te worden.
Bestand
Wat het doet
kerb_kerberoast
Kerberoasting: TGS-tickets aanvragen voor service accounts en offline kraken. Het wachtwoord van een service account dat in 2017 is aangemaakt en sindsdien niet is gewijzigd? Dat valt te kraken. Waarschijnlijk vóór de lunch.
kerb_asreproast
AS-REP Roasting: accounts zonder Kerberos pre-authenticatie. Ze sturen je een hash zonder dat je een wachtwoord nodig hebt. Het is een cadeautje. Ongepakt. Met een strik. En je naam erop.
kerb_targeted_kerberoast
Targeted Kerberoasting: zélf een SPN op een account zetten (als je GenericAll/GenericWrite hebt) en dan Kerberoasten. Gemeen, maar effectief. Zoals de meeste goede strategieën.
kerb_golden_ticket
Golden Ticket: met het krbtgt-wachtwoord maak je je eigen TGT’s. Je bent God. Tot iemand het krbtgt-wachtwoord twee keer reset. Dat gebeurt bijna nooit. God is geduldig.
kerb_silver_ticket
Silver Ticket: TGS-tickets vervalsen voor specifieke services. Minder opvallend dan een Golden Ticket, want je praat niet eens met de DC. Het is de stille variant. De introvert onder de tickets.
kerb_diamond_ticket
Diamond Ticket: een echt TGT opvragen en dan de PAC aanpassen. Moeilijker te detecteren dan goud of zilver. Het is het juweel in de kroon. En de kroon is niet van jou. Maar dat weet niemand.
kerb_constrained
Constrained Delegation misbruik via S4U2Self en S4U2Proxy. Als een service “namens jou” mag handelen, kan een aanvaller dat ook. Delegeren is vertrouwen. Vertrouwen is kwetsbaar.
kerb_unconstrained
Unconstrained Delegation: de Printer Bug triggeren zodat een DC zijn TGT naar jouw machine stuurt. Bedankt, DC. Heel aardig. Had je niet hoeven doen. Maar je deed het toch.
kerb_rbcd
Resource-Based Constrained Delegation: een computeraccount aanmaken en dan de msDS-AllowedToActOnBehalfOfOtherIdentity instellen. Het klinkt ingewikkeld. Het is het ook. Maar het werkt. En als het werkt, maakt het niet uit hoe het klinkt.
kerb_opth
Overpass-the-Hash: een NTLM-hash gebruiken om een Kerberos-ticket aan te vragen. Het beste van twee werelden. Of het slechtste, afhankelijk van wiens perspectief je hanteert.
kerb_sapphire_ticket
Sapphire Ticket: een legitiem TGT opvragen via S4U2Self en dan de PAC aanpassen met de krbtgt-sleutel. Stealthier dan goud, zilver of diamant. Het is het ticket dat niet bestaat — tot je het gebruikt. En dan bestaat het nog steeds niet in de logs.
Op de hoogte blijven?
Ontvang maandelijks cybersecurity-inzichten in je inbox.