det0157-detect-kerberoasting-attempts-t1558003

# DET0157 — Detect Kerberoasting Attempts (T1558.003) ## Descrição Esta estratégia detecta ataques de Kerberoasting (T1558.003), onde adversários com qualquer conta de domínio válida solicitam Service Tickets (TGS) para contas de serviço com SPNs registrados e, offline, realizam ataque de força bruta contra os tickets criptografados com o hash da senha da conta de serviço. Contas de serviço com senhas fracas ou não rotacionadas são altamente vulneráveis. O indicador canônico no controlador de domínio é o Event ID 4769 com `EncryptionType = 0x17` (RC4-HMAC) para contas com SPNs, especialmente quando múltiplos TGS são solicitados em sequência por uma única conta de usuário. Ferramentas como Rubeus, Impacket GetUserSPNs, e o módulo Mimikatz `kerberos::list /export` são os vetores mais comuns. Serviços com `AES256` obrigatório resistem ao ataque. A telemetria é focada nos controladores de domínio: Event ID 4769 com filtragem por `EncryptionType`, frequência de solicitações TGS por conta origem, e razão de solicitações RC4 vs AES. Microsoft Defender for Identity e Azure Sentinel têm regras built-in para Kerberoasting. A implementação de Managed Service Accounts (gMSA) com senhas de 240 chars e rotação automática é a mitigação mais efetiva. ## Indicadores de Detecção - Event ID 4769 com `EncryptionType=0x17` (RC4) para conta com SPN configurado - Múltiplos Event ID 4769 para contas diferentes de serviço originados da mesma conta de usuário em <5 minutos - Conta de usuário comum solicitando TGS para serviços que não usa normalmente - Ferramentas Rubeus ou Impacket detectadas em endpoint (hash ou nome de processo) - Solicitação TGS de workstation de usuário para contas de serviço de banco de dados ou backup ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1087-account-discovery|T1087 — Account Discovery]] ## Analytics Relacionadas - [[an0444-analytic-0444|AN0444 — Analytic 0444]] --- *Fonte: [MITRE ATT&CK — DET0157](https://attack.mitre.org/detectionstrategies/DET0157)*