Dalam lingkungan enterprise berbasis Windows, Active Directory (AD) menjadi pusat autentikasi dan manajemen identitas. Salah satu protokol utama yang digunakan adalah Kerberos, yang dirancang untuk menyediakan autentikasi yang aman melalui sistem tiket (ticket-based authentication).
Namun, di balik mekanisme tersebut, terdapat teknik serangan yang cukup populer di kalangan attacker: Kerberoasting Attack. Serangan ini menargetkan akun service yang menggunakan Service Principal Name (SPN) dan memanfaatkan kelemahan dalam pengelolaan password untuk memperoleh akses tidak sah.
Karena teknik ini tidak memerlukan hak akses tinggi di awal, Kerberoasting menjadi metode yang sering digunakan dalam tahap lateral movement di jaringan internal.
Apa Itu Kerberoasting Attack?
Definisi Kerberoasting
Kerberoasting adalah teknik serangan di lingkungan Active Directory di mana penyerang meminta tiket layanan (service ticket) untuk akun service tertentu, kemudian mengekstrak hash dari tiket tersebut untuk di-crack secara offline.
Menurut Microsoft, Kerberos memungkinkan klien meminta tiket layanan untuk mengakses resource tertentu dalam domain (dikutip dari Microsoft). Dalam konteks ini, tiket tersebut dienkripsi menggunakan hash password akun service.
Jika password akun service lemah, hash tersebut dapat dipecahkan menggunakan teknik brute force atau dictionary attack.
Penyerang yang telah mendapatkan akses sebagai user domain biasa dapat:
Mengenumerasi akun service dengan SPN
Mengidentifikasi target bernilai tinggi seperti database atau aplikasi server
Meminta Service Ticket (TGS)
Penyerang kemudian meminta Ticket Granting Service (TGS) untuk akun service tersebut. Domain controller akan mengeluarkan tiket yang dienkripsi menggunakan hash password akun service.
Ekstraksi dan Cracking Hash
Offline Password Cracking
Tiket yang diperoleh dapat diekstrak dan di-crack secara offline menggunakan tools seperti Hashcat atau John the Ripper.
Karena proses cracking dilakukan di luar jaringan, aktivitas ini sulit terdeteksi oleh sistem monitoring internal.
Menurut MITRE ATT&CK, Kerberoasting termasuk teknik credential access yang menargetkan service accounts dalam domain Windows (dikutip dari MITRE).
Mengapa Kerberoasting Berbahaya?
Tidak Memerlukan Hak Admin Awal
User domain biasa dapat meminta service ticket tanpa memerlukan hak istimewa tambahan.
Sulit Dideteksi
Permintaan service ticket merupakan aktivitas normal dalam jaringan AD, sehingga sulit dibedakan dari traffic yang sah.
Potensi Eskalasi Hak Akses
Jika akun service memiliki hak istimewa tinggi, attacker dapat:
Mengakses database sensitif
Mengontrol aplikasi penting
Melakukan privilege escalation
Faktor yang Memperbesar Risiko
Password Lemah pada Akun Service
Banyak organisasi menggunakan password statis dan jarang diperbarui untuk akun service.
Tidak Menggunakan Managed Service Accounts
Penggunaan akun service tradisional tanpa pengelolaan otomatis meningkatkan risiko eksploitasi.
Kurangnya Monitoring Event Log
Event ID tertentu dalam Windows Security Log dapat menunjukkan aktivitas mencurigakan terkait permintaan TGS.
Akun service harus menggunakan password kompleks dengan panjang signifikan untuk mempersulit cracking.
Terapkan Managed Service Accounts (MSA/gMSA)
Akun ini secara otomatis mengelola dan memperbarui password, sehingga mengurangi risiko eksploitasi.
Monitoring dan Audit
Pantau:
Event ID 4769 (TGS request)
Aktivitas abnormal terhadap SPN tertentu
Gunakan AES Encryption
Pastikan akun service menggunakan enkripsi AES dan nonaktifkan enkripsi RC4 jika memungkinkan.
Dampak Kerberoasting terhadap Keamanan Enterprise
Kerberoasting bukan sekadar teknik pencurian hash, tetapi bagian dari rantai serangan yang lebih besar. Dalam banyak kasus, teknik ini digunakan setelah attacker mendapatkan foothold awal melalui phishing atau eksploitasi lain.
Karena Active Directory merupakan tulang punggung autentikasi organisasi, kompromi terhadap akun service dapat berdampak luas terhadap seluruh infrastruktur TI.
Kerberoasting Attack adalah teknik eksploitasi di lingkungan Active Directory yang menargetkan akun service melalui permintaan service ticket Kerberos. Dengan mengekstrak dan memecahkan hash password secara offline, attacker dapat memperoleh akses istimewa tanpa terdeteksi dengan mudah.
Pencegahan Kerberoasting memerlukan kombinasi kebijakan password yang kuat, penggunaan managed service accounts, serta monitoring aktivitas domain secara proaktif. Dalam strategi keamanan modern, perlindungan terhadap credential access harus menjadi prioritas utama.
Memahami Kerberoasting berarti memahami bagaimana menjaga fondasi autentikasi enterprise tetap aman.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
