操作系统凭证倾销:DCSync

描述

对手可能试图访问凭证和其他敏感信息滥用Windows域控制器的应用程序编程接口(API)[1] [2] [3]模拟从远程域控制器复制过程使用了一种叫做DCSync。管理员的成员,域管理员,和企业管理组或计算机帐户的域控制器能够运行DCSync密码数据[5]从Active Directory,其中可能包括当前和历史散列KRBTGT和管理员等潜在的有用的账户

产品、传感器和依赖关系

产品	依赖关系	数据源	访问所需的	协议	收集的数据	笔记
Tenable.ad		活动目录	标准广告用户	LDAP	用户和组的成员和ACL

攻击路径技术细节

框架:主教法冠ATT&CK

家庭:凭据访问

技术:操作系统凭证倾销

Sub-Technique:DCSync

平台:窗户

产品要求:Tenable.ad

站得住脚的发布日期:2022年第三季度