使用 AS-REP Roasting 破解 Active Directory 密码。

攻击者获取 IT 环境访问权限并提升权限的一种关键方法是窃取用户密码哈希值并离线破解。我们在 Kerberoasting 帖子中介绍了一种获取服务帐户密码的方法。在这里，我们将探索一种针对某些用户帐户的技术，即 AS-REP Roasting。我们将介绍攻击者如何使用 Rubeus 工具执行 AS-REP Roasting，以及如何保护您的组织免受这些攻击。

什么是 AS-REP 烘焙？

AS-REP Roasting 是一种技术，使攻击者能够窃取禁用了 Kerberos 预身份验证的用户帐户的密码哈希，然后他们可以尝试离线破解。

启用预身份验证后，需要访问资源的用户通过向域控制器 (DC) 发送身份验证服务器请求 (AS-REQ) 消息来开始 Kerberos 身份验证过程。该消息的时间戳使用用户密码的哈希值进行加密。如果 DC 可以使用自己的用户密码哈希记录解密该时间戳，它将发回一条身份验证服务器响应 (AS-REP) 消息，其中包含由密钥分发中心 (KDC) 颁发的票证授予票证 (TGT)，用于用户将来的访问请求。

但是，如果禁用预身份验证，攻击者可以请求任何用户的身份验证数据，并且 DC 将返回 AS-REP 消息。由于该消息的一部分是使用用户的密码加密的，因此攻击者可以尝试离线暴力破解用户的密码。

幸运的是，Active Directory 中默认启用预身份验证。 但是，可以使用如下所示的设置对用户帐户禁用它：

使用 Rubeus 执行 AS-REP 烘焙

使用 Rubeus，您可以轻松执行 AS-REP Roasting，以了解此攻击在您的环境中如何发挥作用。 只需发出以下命令：

Rubeus.exe asreproast

这将自动找到所有不需要预身份验证的帐户并提取其 AS-REP 哈希值以进行离线破解，如下所示：

让我们更进一步地了解这个例子，以一种可以被 Hashcat 离线破解的格式提取数据。此命令会将 AS-REP 哈希信息输出到文本文件：

Rubeus.exe asreproast /format:hashcat /outfile:C:\Temp\hashes.txt

然后就可以直接使用 Hashcat 来破解找到的哈希值了。我们只需要为 AS-REP 哈希、哈希文件以及用于执行暴力密码猜测的字典指定正确的哈希模式代码：

hashcat64.exe -m 18200 c:\Temp\hashes.txt example.dict

防止 AS-REP 烘烤

正如您所看到的，AS-REP Roasting 提供了一种简单的方法来窃取用户帐户的密码哈希值，不需要预先身份验证，也不需要特殊权限。幸运的是，有几种有效的方法可以防御这些攻击。

识别不需要预身份验证的帐户

阻止 AS-REP Roasting 攻击的最佳方法是找到所有设置为不需要 Kerberos 预身份验证的用户帐户，然后启用此设置。该脚本将找到这些易受攻击的帐户：

Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name

输出如下所示：

密码强度

针对 AS-REP Roasting 攻击的另一个强有力的保护措施是需要长而复杂的密码，即使对手设法窃取它们也很难破解。 使用细粒度的密码策略（尤其是对于特权帐户）是很好的第一步。

广告权限

了解哪些用户帐户拥有修改控制是否启用预身份验证的设置所需的权限也很重要，因为他们可以将其禁用足够的时间来获取 AS-REP 哈希，然后再次启用它。此查询将列出不需要预身份验证的用户帐户的所有访问权限：

(Get-ACL "AD:$((Get-ADUser -Filter 'useraccountcontrol -band 4194304').distinguishedname)").access

变更监控

最后，您还应该监视 Kerberos 预身份验证的禁用情况。 事件 4738 记录对此用户设置的更改：

或者，您可以监控事件 ID 5136：

Netwrix 如何提供帮助？

使用 Netwrix Active Directory 安全解决方案从头到尾保护您的 Active Directory。它将使您能够：

• 发现 Active Directory 中的安全风险并优先考虑缓解措施。
• 强化整个 IT 基础设施的安全配置。
• 及时检测并遏制高级威胁，例如 Kerberoasting、DCSync、NTDS.dit 提取和金票攻击。
• 使用自动响应选项立即响应已知威胁。
• 通过快速 Active Directory 恢复最大限度地减少业务中断。

常问问题

AS-REP 代表什么？

AS-REP 代表身份验证服务 (AS) 响应消息。它是 Kerberos 身份验证期间在服务器和客户端之间传输的一种消息。

哪些用户容易受到 AS-REP 烘焙的影响？

AS-REP Roasting 只能用于禁用 Kerberos 预身份验证的用户帐户