指标

DNS区域是一个合法的特性转移到主DNS服务器的DNS区域复制到第二个,使用AXFR查询类型。然而,攻击者经常滥用这种机制在侦察阶段为了检索所有DNS记录,攻击环境为他们提供有价值的信息。特别是,一个成功的DNS区域转移可以给攻击者有用电脑中列出的DNS信息区,如何访问它们,也猜测他们的角色。故障区域转移注意,(例如没有必要的权利,区转移不是在服务器上配置,等等)也发现。

关键的cve - 2020 - 1472评为Zerologon攻击,滥用密码学缺陷Netlogon协议,允许攻击者建立Netlogon安全通道与任何计算机的域控制器。从那里,几个帖子开发技术可以用来实现特权升级,等域控制器帐户密码改变强制认证,DCSync攻击等等。ZeroLogon利用往往是错误的,使用实际的开发利用活动Netlogon欺骗认证绕过(解决IOA ZeroLogon剥削)。这个指标侧重于一个可以使用的开发活动,结合Netlogon脆弱性:修改帐户密码域控制器的机器。

品牌Zerologon脆弱性与一个关键漏洞(cve - 2020 - 1472)在Windows服务器已经收到了从微软CVSS分数为10.0。它由海拔特权存在当攻击者建立一个脆弱Netlogon安全通道连接到域控制器,使用Netlogon远程协议(MS-NRPC)。这个漏洞允许攻击者妥协域和获得域管理员特权。

Kerberoasting是一种攻击,目标活动目录服务帐户的凭证脱机密码破解。这种攻击试图获得服务帐户请求服务票证,然后离线破解服务帐户的凭据。经典的Kerberoasting方法覆盖的KerberoastingIOA。如前所述的名义指标,还有另一种方法做一个Kerberoasting攻击,隐形方法可以绕过很多检测。先进的攻击者可能更喜欢这种方法希望依然看不到大多数启发式检测。

DNSAdmins剥削是一个攻击,允许DNSAdmins小组的成员接管控制域控制器运行微软的DNS服务。DNSAdmins集团成员权利在Active Directory DNS服务执行管理任务。攻击者可以滥用这些权利执行恶意代码在一个高度特权上下文。

DPAPI域备份钥匙DPAPI复苏的一个重要组成部分的秘密。各种攻击工具关注从域控制器中提取这些键使用LSA RPC调用。微软承认没有支持旋转方法,也不会改变这些键。因此,如果DPAPI备份域的密钥泄露,他们建议从头创建一个全新的领域,是一个昂贵而冗长的操作。

关键的cve - 2021 - 42287会导致海拔特权域从标准的帐户。缺陷来自坏的处理请求目标对象与一个不存在sAMAccountName属性。域控制器会自动添加一个尾随美元符号($)sAMAccountName价值,如果不能找到,从而导致目标计算机的模拟账户。

“NTDS漏出”是指攻击者使用的技术来检索被忽略。说数据库。这个文件存储Active Directory密码散列和Kerberos密钥等机密。一旦访问,攻击者离线解析这个文件的副本,提供一个替代DCSync攻击Active Directory的敏感内容的检索。

Kerberoasting是一种攻击,目标活动目录服务帐户的凭证脱机密码破解。这种攻击试图获得服务帐户请求服务票证,然后离线破解服务帐户的凭据。Kerberoasting指示器的攻击需要激活站得住脚的身份暴露的蜂蜜账户功能发送一个警报当有登录尝试的蜂蜜帐户或如果该帐户收到一张票的请求。

大量的身份验证请求在多个计算机,使用NTLM或Kerberos协议和来自同一来源可以攻击的迹象。

检查“分布式文件系统复制”(DFS-R)机制取代了“文件复制服务”(FRS)。

确保淬火措施ransomware已经部署在域

危险的权限和配置参数列表与Windows公钥基础设施(PKI)。

验证组策略对象(gpo)应用于域电脑是正常的。

检查特权用户可以连接到更少的特权机器导致凭据盗窃的风险。

cve - 2020 - 1472 (“Zerologon”)影响Netlogon协议,允许高度的特权

凭据漫游属性是脆弱,使得攻击者秘密保护的相关用户可读的。

似乎一些明文密码可读的每个域的用户

配置错误的敏感的特权的权利减少一个目录的安全基础设施。

确保没有证书映射对象特权