- Allows a user to request a service ticket for any service with a registered SPN then use that ticket to crack the service password. - If the service has a registered SPN then it can be Kerberoastable. - the success of the attack depends on how strong the password is. # 서비스 계정이 Domain Admin? - 도메인 전체를 제어할 수 있는 권한을 가지게 됨. - `Golden Ticket` 혹은 `Silver Ticket`을 가진 것과 마찬가지 - `NTDS.dit` (AD의 모든 사용자 해시가 들어있는 파일) dump 가능 # 서비스 계정이 일반 계정? - 다른 시스템으로 Lateral Movement, Pivot, 혹은 Privilege Escalation 시도 - 해당 계정의 비밀번호를 다른 계정에 시도 # Mitigations -  Strong Service Passwords - If the service account passwords are strong then kerberoasting will be ineffective -  Don't Make Service Accounts Domain Admins - Service accounts don't need to be domain admins, kerberoasting won't be as effective if you don't make service accounts domain admins.