检测
分析学
指针攻击
| 名称 | 描述性 | 严重性 |
|---|---|---|
| DNS编号 | dNS区传输使用AxFR查询类型将dNS区从初级dNS服务器复制为二级攻击者往往在侦察阶段滥用这一机制检索所有DNS记录,为攻击环境提供宝贵信息特别是,成功dNS区传输可提供攻击者有用信息,介绍DNS区所列计算机、如何访问计算机并猜作用注意失效区移转并检测到无必要权限区移位 未配置服务器等 |
低端 |
| 可疑DC密码修改 | 关键CVE-2020-1472命名为Zerlogon攻击滥用Netlogon协议密码缺陷,允许攻击者建立Netlogon安全通道,并像计算机一样带域控制器从那里可以使用数种后开发技术实现特权升级,例如域控制器账户密码修改强制认证 DSync攻击等零线程开发常误差使用Netlogon伪认证旁路后开发活动(IOA'Zerologon开发'处理)。本指标聚焦一号后开发活动可与Netlogon漏洞并用:修改域控制机密码 |
关键值 |
| 零度开发 | 名牌零脆弱点与Windows服务器关键脆弱点(CVE-2020-1472)相关联,该服务器从微软获取CVSS分数10.0分由高端特权组成,当攻击者使用Netlogon远程协议(MS-NRPC)建立脆弱Netlogon安全通道连接域控制器时即存在特权脆弱度允许攻击者折中域并获取域管理员特权 |
关键值 |
| 非认证Kerberasting | kerberasting是一种攻击类型 目标主动目录服务账户证书脱机密码破解并破解服务账户脱机证书经典Kerberaste法覆盖 |
介质 |
| nsAdmins开发 | DNSAdmins开发是一种攻击,允许DNSAdmins组成员接管管理微软DNS服务域控制器DNSAdmins组成员有权在主动目录dNS服务上执行行政任务攻击者可以滥用这些权利在高度特权环境中执行恶意代码 |
高位 |
| PASPI域备份密钥提取 | DPAPI域备份密钥是恢复DPAPI机密的重要组成部分各种攻击工具侧重于使用LSARPC调用域控制器提取这些密钥微软识别无支持旋转法或更改密钥因此,如果DPAPI备份密钥失密,他们建议从零开始创建全新域,这是一个代价高昂和费时操作 |
关键值 |
| SAMACcounte | 关键CVE2021-42287可提高域域权限标准账号缺陷出自对对象请求处理不当并不存在 sAmaccountName属性域控制器自动向 sAmaccountName值添加尾值$ |
高位 |
| NTDS采掘 | NTDS排空指攻击者检索NTDS.dit数据库时使用的技术文件存储主动目录密钥,如密码hashes和Kerberos密钥访问后攻击者解析文件脱机副本,为检索主动目录敏感内容提供DSync攻击替代 |
关键值 |
| Kerberaste | kerberasting是一种攻击类型 目标主动目录服务账户证书脱机密码破解并破解服务账户脱机证书Kerberasing攻击指示器需要激活可登录身份接触Hone账号特性,以便在Honey账号登录尝试或该账号接收票请求时发布警告 |
介质 |
| 大规模计算机侦察 | 多计算机使用NTLM或Kerberos协议并来自同一源码的大量认证请求可表示攻击 |
低端 |
| 枚举本地管理员 | 本地管理员群举SAMRRPC接口,更有可能与BloodHound/SharpHound接口 |
低端 |
| 派特波坦 | PetitPotam工具可用于强制验证远程系统目标机,通常用于执行NTLM中继攻击PetitPotam目标域控制器,攻击者可认证另一网络机转发域控制器认证 |
关键值 |
| 密码喷射 | 密码喷射是一种攻击,试图访问大量账户(用户名)并使用少数常用密码-又称低慢方法 |
介质 |
| 密码猜想 | 粗力密码猜攻击指提交并检查所有可能的密码和密码句,直到找到正确密码 |
介质 |
| DCShadow | DCShadow系统再次晚端杀链攻击,允许拥有特权证书攻击者注册流氓域控制器,以便通过域复制向域推换 |
关键值 |
| OS证书倾销:LSASS内存 | 用户日志发布后,攻击者可尝试访问存储在地方安全局子系统服务进程存储器中的证书材料 |
关键值 |
| 金票 | GoldenTicket增益控制活动目录密钥分发服务账号使用该账号创建有效KerbersTicket授票 |
关键值 |
| DCSync | mimikatz中DSync命令允许攻击者模拟域控制器并从其他域控制器检索密码hashes和加密密钥,而不执行目标代码 |
关键值 |