# Rubeus > Tipo: **tool** · S1071 · [MITRE ATT&CK](https://attack.mitre.org/software/S1071) ## Descrição [[s1071-rubeus|Rubeus]] é um toolkit C# open source de manipulação do protocolo Kerberos, desenvolvido por harmj0y (Will Schroeder) e disponibilizado públicamente no GitHub como ferramenta de red team. O Rubeus oferece implementação completa em .NET do protocolo Kerberos, permitindo a operadores interagir diretamente com o KDC (Key Distribution Center) sem depender das APIs do Windows - o que dificulta a detecção por soluções que monitoram apenas chamadas de API nativas. As principais capacidades do [[s1071-rubeus|Rubeus]] em contexto ofensivo incluem: **Kerberoasting** (`asreproast`) para extração de tickets de contas de serviço para quebra offline; **AS-REP Roasting** para contas sem pre-autenticação Kerberos; **Golden Ticket** e **Silver Ticket** para persistência forjando tickets Kerberos com chaves extraídas do krbtgt; **Pass-the-Ticket** para utilizar tickets capturados em outros sistemas; e **OverPass-the-Hash** para converter hashes NTLM em tickets Kerberos TGT. O [[g0102-conti-group|Wizard Spider]] - grupo por trás do Ryuk e Conti ransomware - utilizou Rubeus sistematicamente em operações de ransomware corporativo. O diferencial do Rubeus em relação ao [[mimikatz|Mimikatz]] para ataques Kerberos é a operação inteiramente em user-space via .NET, sem injeção de DLL em lsass.exe - contornando defesas que focam exclusivamente em proteção do LSASS. A detecção requer monitoramento de eventos Kerberos anômalos nos logs do controlador de domínio. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1558-003-kerberoasting|T1558.003 - Kerberoasting]] - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1558-002-silver-ticket|T1558.002 - Silver Ticket]] - [[t1558-004-as-rep-roasting|T1558.004 - AS-REP Roasting]] - [[t1558-001-golden-ticket|T1558.001 - Golden Ticket]] ## Grupos que Usam - [[g0102-conti-group|Wizard Spider]] ## Detecção **Fontes de dados recomendadas:** - **Windows Security Event ID 4768 (Kerberos TGT Request):** Múltiplas requisições TGT para diferentes contas de serviço em curto intervalo - padrão de Kerberoasting - **Windows Security Event ID 4769 (Kerberos TGS Request):** Requisições com RC4-HMAC (etype 0x17) para múltiplas contas de serviço - padrão de Kerberoasting com Rubeus `kerberoast /rc4opsec` - **Windows Security Event ID 4625:** Falhas de autenticação Kerberos com código de erro `KDC_ERR_PREAUTH_REQUIRED` indica AS-REP Roasting tentativas **Regras de detecção:** - Sigma: `win_security_kerberoasting.yml` - detecta padrão de Kerberoasting via Event ID 4769 com RC4 encryption (SigmaHQ) - Sigma: `proc_creation_win_hktl_rubeus.yml` - detecta execução de Rubeus por hashes conhecidos e padrões de linha de comando - Microsoft Defender for Identity: Alerta nativo "Suspected Kerberos SPN exposure (external ID 2410)" detecta Kerberoasting ## Relevância LATAM/Brasil [[g0102-conti-group|Wizard Spider]] - operador dos ransomwares Ryuk e Conti - utilizou [[s1071-rubeus|Rubeus]] em campanhas de ransomware que afetaram hospitais, empresas de manufatura e infraestrutura crítica no Brasil e América Latina. Kerberoasting com Rubeus é especialmente eficaz em ambientes brasileiros onde contas de serviço são configuradas com senhas fracas ou padrão por administradores sem treinamento em segurança do Active Directory. A ausência de monitoramento de eventos Kerberos (4768, 4769) em muitos SOCs brasileiros torna essa técnica virtualmente indetectável sem alertas configurados específicamente para o padrão de Kerberoasting. ## Referências - [MITRE ATT&CK - S1071](https://attack.mitre.org/software/S1071)