# AN0316 — Analytic 0316 ## Descrição Esta analítica detecta tentativas de AS-REP roasting monitorando padrões de autenticação Kerberos AS-REQ/AS-REP onde a pré-autenticação está desabilitada (Event ID 4768 com Pre-Auth Type 0), correlacionando com atividade de service ticket subsequente (Event ID 4769) e anomalias como uso de criptografia RC4 fraca (etype 0x17), além de enumeração excessiva de contas com a flag `Do not require Kerberos preauthentication` definida no Active Directory. A telemetria inclui logs de auditoria do controlador de domínio Windows (Event IDs 4768, 4769) e consultas LDAP ao Active Directory para atributos de conta. Esta detecção é crítica pois AS-REP roasting é técnica usada por operadores de ransomware e grupos APT para obter hashes de senha de contas de serviço sem precisar de um ticket TGT inicial, contornando mecanismos de detecção convencionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1558-004-as-rep-roasting|T1558.004 — AS-REP Roasting]] - [[t1110-002-password-cracking|T1110.002 — Password Cracking]] - [[t1087-002-domain-account|T1087.002 — Domain Account]] --- *Fonte: [MITRE ATT&CK — AN0316](https://attack.mitre.org/detectionstrategies/DET0113#AN0316)*