Saltar al contenido principal

Kerberoasting

Pides un ticket TGS para una cuenta de servicio (SPN).

Categoría: Active Directory · Kerberos & NTLM 🎯 Trinchera — Pides un ticket TGS para una cuenta de servicio (SPN). El ticket viene cifrado con el hash de esa cuenta. Te lo llevas a casa y lo crackeas offline con hashcat. 🔗 Kill chain — Requisito: cualquier usuario autenticado del dominio. Si la contraseña de la cuenta de servicio es débil, en horas tienes credenciales de nivel servicio (a menudo con privilegios elevados). 📡 Huella defensiva — Event ID 4769 con cifrado RC4 (Ticket Encryption Type: 0x17). Múltiples 4769 desde una misma cuenta apuntando a SPNs distintos = patrón de Kerberoasting. ⚠️ Falso amigo — Olvidar filtrar por adminCount=1. Te llevas el TGS de cualquier servicio, pero los que importan son los privilegiados. 🛡️ Remediación — gMSA (contraseñas de 240 caracteres rotadas solas), forzar AES en cuentas de servicio, contraseñas largas (25+).

Volver al glosario completo Última actualización: 2026-06-11