Tenable.ad 指标

在 Kerberoasting 类型的攻击中，攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据，以便离线破解密码。此攻击旨在通过请求服务票据，然后离线破解该服务帐户的凭据，来获取服务帐户的访问权限。Kerberoasting IoA 已涵盖经典的 Kerberoasting 方法。正如指标名称所述，有另一种使用隐蔽方法进行 Kerberoasting 攻击的方式，这种方式可以绕过许多检测机制。高级攻击者可能会偏好使用这种方式以避开大部分检测启发式。

DNSAdmins 利用是一种攻击方式，DNSAdmins 组中的成员可以借此接管运行 MicrosoftDNS 服务的域控制器。DNSAdmins 组中的成员有权在 Active DirectoryDNS 服务上执行管理任务。攻击者会滥用这些权利，以在高特权环境中执行恶意代码。

DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。

关键的 CVE-2021-42287 会提升标准帐户在该域上的权限。该缺陷源自错误地处理针对具有不存在的 sAMAccountName 属性对象的请求。该域控制器会自动在 sAMAccountName 值后面添加一个美元 ($) 符号（如未找到），进而冒充目标计算机帐户。

NTDS 提取是指攻击者用来检索 NTDS.dit 数据库的技术。此文件存储 Active Directory 密钥，如密码哈希和 Kerberos 密钥。攻击者在访问此文件后，便可离线解析此文件的副本，从而提供 DCSync 攻击的替代方案来检索 Active Directory 的敏感内容。

在 Kerberoasting 类型的攻击中，攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据，以便离线破解密码。此攻击旨在通过请求服务票据，然后离线破解该服务帐户的凭据，来获取服务帐户的访问权限。Kerberoasting 攻击指标需要激活 Tenable.ad 的 Honey Account（蜜罐帐户）功能，才能在有人尝试登录 Honey Account（蜜罐帐户）或此帐户收到票据请求时发出警报。

在多台计算机上出现大量身份验证请求，使用 NTLM 或 Kerberos 协议并来自同一来源，这表明可能存在攻击。

已使用 SAMR RPC 界面（更可能使用 BloodHound/SharpHound）枚举本地管理员组

PetitPotam 工具可用于对远程系统的目标计算机强制进行身份验证，通常目的在于执行 NTLM 中继攻击。如果 PetitPotam 将目标锁定为域控制器，攻击者可以向中继域控制器身份验证的另一台网络机器进行身份验证。

密码喷洒攻击是指使用一些常用密码尝试访问大量帐户（用户名），也称为低速缓慢攻击

请确保已在域上部署针对勒索软件的加固措施

列出与 WindowsPublic Key Infrastructure (PKI) 有关的危险权限以及配置错误的参数

确保应用于域计算机的 GPOs 是合理的。

特权用户可连接至特权较低的计算机，因而有凭据被盗的风险

CVE-2020-1472（“Zerologon”）会影响 Netlogon 协议并允许提升特权

Credential roaming 属性易受攻击，因此，攻击者可以读取相关受用户保护的密钥。

部分明文密码似乎可被每个域的用户读取

配置错误的敏感特权会降低目录基础结构的安全性。

确保未在特权对象上设置映射证书

检查加固 GPO 是否已部署在域上