det0113-detect-as-rep-roasting-attempts-t1558004

# DET0113 — Detect AS-REP Roasting Attempts (T1558.004) ## Descrição Esta estratégia detecta ataques de AS-REP Roasting contra o Kerberos do Active Directory. O ataque explora contas configuradas com `UF_DONT_REQUIRE_PREAUTH` (pré-autenticação Kerberos desabilitada), permitindo que qualquer usuário do domínio solicite um AS-REP para essas contas e receba o hash da senha criptografado offline sem necessidade de autenticação prévia. A ferramenta mais utilizada é `Rubeus` com o comando `asreproast` ou `GetNPUsers.py` do Impacket. A telemetria primária é o Domain Controller Event ID 4768 (Kerberos Authentication Service ticket request) com `Pre-Authentication Type = 0` — indicando que a pré-autenticação não foi exigida. Volume de eventos 4768 com este tipo em curto período para múltiplas contas é sinal de varredura automatizada de AS-REP roasting. O atributo `msDS-SupportedEncryptionTypes` da conta também indica vulnerabilidade. A detecção proativa inclui: auditoria periódica de contas com `DONT_REQUIRE_PREAUTH` via `Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true}`, alertas para qualquer nova conta recebendo este atributo, e correlação de eventos 4768 com origem em hosts fora de servidores de aplicação legítimos. Grupos como [[g0016-apt29]] e operadores de ransomware que comprometem ambientes AD utilizam AS-REP Roasting para obter hashes de service accounts vulneráveis sem precisar de acesso privilegiado inicial. ## Indicadores de Detecção - Event ID 4768 com `Pre-Authentication Type: 0x0` no Domain Controller - Múltiplos eventos 4768 com `Pre-Auth Type = 0` para contas diferentes originados do mesmo IP em <60 segundos - Contas com atributo `UserAccountControl = DONT_REQUIRE_PREAUTH` fora de lista de aprovação - Execução de `GetNPUsers.py`, `Rubeus.exe asreproast`, ou `ASREPRoast.ps1` no ambiente - Nova conta recebendo atributo `DONT_REQUIRE_PREAUTH` fora de processo de change management - Tráfego Kerberos AS-REQ sem campo padata de `PA-ENC-TIMESTAMP` de host não-servidor de aplicação ## Técnicas Relacionadas - [[t1558004-steal-or-forge-kerberos-tickets-as-rep-roasting]] — Técnica principal - [[t1558-steal-or-forge-kerberos-tickets]] — Categoria pai - [[t1558003-kerberoasting]] — Kerberoasting como técnica relacionada - [[t1110002-brute-force-password-cracking]] — Cracking dos hashes AS-REP obtidos - [[t1087002-account-discovery-domain-account]] — Enumeração prévia para identificar contas vulneráveis ## Analytics Relacionadas - [[an0316-analytic-0316|AN0316 — Analytic 0316]] --- *Fonte: [MITRE ATT&CK — DET0113](https://attack.mitre.org/detectionstrategies/DET0113)*