Rubeus

¿Qué es Rubeus?

Rubeus es una herramienta de post-explotación orientada a ataques y manipulación del protocolo Kerberos en entornos Windows Active Directory. Está escrita en C# y se compila como un ejecutable .NET (.exe). Fue desarrollada por Will Schroeder (@harmj0y), uno de los principales investigadores de AD.

¿Se ejecuta solo en Windows?

Sí, Rubeus está diseñado para ejecutarse en sistemas Windows porque:

• Necesita acceso a funciones de la API de Windows, especialmente relacionadas con Kerberos (como LSA, LSASS, WinAPI, etc.).

• Interactúa con la cache de tickets Kerberos en memoria y el sistema de seguridad local.

• Aprovecha el cliente Kerberos de Windows para cargar y enviar tickets (ptt, asktgt, s4u, etc.).

• Por lo tanto, no puede ejecutarse nativamente en Linux ni WSL, y no es un script .ps1.

¿Para qué se usa en pentesting?

Rubeus permite ejecutar muchos ataques y operaciones relacionadas con Kerberos, clave en la seguridad de Active Directory. Entre sus usos principales:

Enumeración y recolección de tickets

• klist, tgtdeleg, asktgt: ver o solicitar TGTs

• asktgs: solicitar TGS para SPNs conocidos

Ataques de suplantación y delegación

• s4u → realizar ataques S4U2Self + S4U2Proxy como en RBCD

• ptt → cargar tickets manualmente en memoria

• asreproast → robar hashes sin preautenticación (AS-REP roasting)

• kerberoast → solicitar TGS y crackearlos offline

Persistencia y movimiento lateral

• dump → extraer tickets desde memoria (LSASS)

• renew → renovar TGTs

• monitor → detectar emisión de nuevos tickets

En resumen

• ¿Es solo para Windows? → Sí, porque depende de la API del sistema.

• ¿Es un script .ps1? → No, es un ejecutable .exe de .NET.

• ¿Para qué sirve? → Manipular Kerberos en todas sus formas: obtención, suplantación, cracking, carga y abuso de tickets, especialmente útil en entornos Active Directory comprometidos.

Algunos de los módulos más comunes de Rubeus son

| Módulo         | Descripción                                                                |
|----------------|----------------------------------------------------------------------------|
| `asreproast`   | Realiza AS-REP Roasting contra usuarios sin preautenticación.              |
| `kerberoast`   | Solicita TGS para cuentas con SPN y permite crackearlos offline.           |
| `asktgt`       | Solicita un TGT usando hash RC4 o contraseña.                              |
| `asktgs`       | Solicita un TGS para un SPN usando un TGT válido.                          |
| `tgtdeleg`     | Solicita un TGT delegable desde sesión con TGT válido.                     |
| `s4u`          | Ejecuta S4U2Self + S4U2Proxy para impersonación (usado en RBCD).           |
| `ptt`          | "Pass-the-Ticket": carga un ticket `.kirbi` en memoria.                    |
| `dump`         | Extrae tickets Kerberos de la memoria actual (LSASS).                      |
| `monitor`      | Monitorea la emisión de tickets en tiempo real.                            |
| `renew`        | Renueva un TGT previamente adquirido si es renovable.                      |
| `purge`        | Elimina todos los tickets Kerberos cargados en memoria.                    |
| `hash`         | Calcula hashes Kerberos (rc4, aes) a partir de usuario + contraseña.       |
| `klist`        | Muestra los tickets Kerberos actualmente en memoria.                       |

Ver maquinas: Support (HTB),

Ver modulos: Attacking Kerberos (THM),