检测
分析
指标的攻击
| 的名字 | 描述 | 严重程度 |
|---|---|---|
| DNS枚举 | DNS区域是一个合法的特性转移到主DNS服务器的DNS区域复制到第二个,使用AXFR查询类型。然而,攻击者经常滥用这种机制在侦察阶段为了检索所有DNS记录,攻击环境为他们提供有价值的信息。特别是,一个成功的DNS区域转移可以给攻击者有用电脑中列出的DNS信息区,如何访问它们,也猜测他们的角色。故障区域转移注意,(例如没有必要的权利,区转移不是在服务器上配置,等等)也发现。 |
低 |
| 可疑的直流密码更改 | 关键的cve - 2020 - 1472评为Zerologon攻击,滥用密码学缺陷Netlogon协议,允许攻击者建立Netlogon安全通道与任何计算机的域控制器。从那里,几个帖子开发技术可以用来实现特权升级,等域控制器帐户密码改变强制认证,DCSync攻击等等。ZeroLogon利用往往是错误的,使用实际的开发利用活动Netlogon欺骗认证绕过(解决IOA ZeroLogon剥削)。这个指标侧重于一个可以使用的开发活动,结合Netlogon脆弱性:修改帐户密码域控制器的机器。 |
至关重要的 |
| Zerologon剥削 | 品牌Zerologon脆弱性与一个关键漏洞(cve - 2020 - 1472)在Windows服务器已经收到了从微软CVSS分数为10.0。它由海拔特权存在当攻击者建立一个脆弱Netlogon安全通道连接到域控制器,使用Netlogon远程协议(MS-NRPC)。这个漏洞允许攻击者妥协域和获得域管理员特权。 |
至关重要的 |
| 未经身份验证的Kerberoasting | Kerberoasting是一种攻击,目标活动目录服务帐户的凭证脱机密码破解。这种攻击试图获得服务帐户请求服务票证,然后离线破解服务帐户的凭据。经典的Kerberoasting方法覆盖的 |
媒介 |
| DnsAdmins剥削 | DNSAdmins剥削是一个攻击,允许DNSAdmins小组的成员接管控制域控制器运行微软的DNS服务。DNSAdmins集团成员权利在Active Directory DNS服务执行管理任务。攻击者可以滥用这些权利执行恶意代码在一个高度特权上下文。 |
高 |
| DPAPI域备份关键的提取 | DPAPI域备份钥匙DPAPI复苏的一个重要组成部分的秘密。各种攻击工具关注从域控制器中提取这些键使用LSA RPC调用。微软承认没有支持旋转方法,也不会改变这些键。因此,如果DPAPI备份域的密钥泄露,他们建议从头创建一个全新的领域,是一个昂贵而冗长的操作。 |
至关重要的 |
| SAMAccountName模拟 | 关键的cve - 2021 - 42287会导致海拔特权域从标准的帐户。缺陷来自坏的处理请求目标对象与一个不存在sAMAccountName属性。域控制器会自动添加一个尾随美元符号($)sAMAccountName价值,如果不能找到,从而导致目标计算机的模拟账户。 |
高 |
| 被忽略的提取 | “NTDS漏出”是指攻击者使用的技术来检索被忽略。说数据库。这个文件存储Active Directory密码散列和Kerberos密钥等机密。一旦访问,攻击者离线解析这个文件的副本,提供一个替代DCSync攻击Active Directory的敏感内容的检索。 |
至关重要的 |
| Kerberoasting | Kerberoasting是一种攻击,目标活动目录服务帐户的凭证脱机密码破解。这种攻击试图获得服务帐户请求服务票证,然后离线破解服务帐户的凭据。Kerberoasting指示器的攻击需要激活站得住脚的身份暴露的蜂蜜账户功能发送一个警报当有登录尝试的蜂蜜帐户或如果该帐户收到一张票的请求。 |
媒介 |
| 大量的电脑侦察 | 大量的身份验证请求在多个计算机,使用NTLM或Kerberos协议和来自同一来源可以攻击的迹象。 |
低 |
| 枚举的本地管理员 | 本地Administrators组与SAMR RPC接口枚举,更有可能与侦探犬/ SharpHound。 |
低 |
| PetitPotam | PetitPotam工具可以用来强制目标机器到远程系统的身份验证,通常执行NTLM继电器的攻击。如果PetitPotam目标域控制器,攻击者可以验证网络机传送到另一个域控制器的身份验证。 |
至关重要的 |
| 密码喷涂 | 密码喷涂是一种攻击,试图访问大量的账户(用户名)和一些常用的密码——也被称为低慢的方法 |
媒介 |
| 密码猜测 | 强力密码猜测攻击包括在提交和检查所有可能的密码和密码,直到找到正确的一个。 |
媒介 |
| DCShadow | DCShadow是另一个晚期杀伤链攻击中,允许攻击者具有特权凭证登记一个流氓域控制器,以推动更改域通过域复制。 |
至关重要的 |
| 操作系统凭证倾销:内存补丁 | 用户登录后,攻击者可以尝试访问凭证材料存储在当地安全部门的进程内存子系统服务(补丁)。 |
至关重要的 |
| 金票 | 金票攻击收益控制一个Active Directory密钥分发服务帐户(KRBTGT),并使用该帐户创建有效的Kerberos票据授予票(tgt)。 |
至关重要的 |
| DCSync | Mimikatz DCSync命令允许攻击者来模拟域控制器和检索密码哈希和加密密钥从其他域控制器,没有在目标系统上执行任何代码。 |
至关重要的 |