指标

Tenable Identity Exposure 可以预测威胁、检测入侵并对事件和攻击做出响应,从而保护您的基础架构。您可以使用直观的面板实时监视 Active Directory,从而一目了然地识别出最危急的漏洞及建议的修正方法。借助 Tenable Identity Exposure 的攻击指标和风险暴露指标,您可以发现影响 Active Directory 的底层问题、识别存在风险的信任关系,并深入分析攻击的详细信息。

搜索

攻击指标

  • 被称作 Zerologon 的严重 CVE-2020-1472 是一种滥用 Netlogon 协议加密漏洞的攻击,可让攻击者在任何计算机上与域控制器建立 Netlogon 安全通道。通过此攻击,攻击者可以使用多种后渗透攻击技术实现特权提升,例如修改域控制器帐户密码​、强制身份验证、DCSync 攻击等。人们经常误以为 ZeroLogon 漏洞是使用实际的 Netlogon 伪造身份验证绕过的后渗透攻击活动(由 IoA“Zerologon 利用”解决)。此指标聚焦于可以结合 Netlogon 漏洞使用的后渗透攻击活动之一​ :修改域控制器计算机帐户密码。

  • 名为 Zerologon 的漏洞与 Windows Server 中的严重漏洞 (CVE-2020-1472) 相关,在 Microsoft 的 CVSS 评分系统中获得了 10.0 分。当攻击者使用 Netlogon 远程协议 (MS-NRPC),与域控制器建立易受攻击的 Netlogon 安全通道连接时,此漏洞会提升特权。攻击者可利用此漏洞入侵域并获得域管理员特权。

  • 在 Kerberoasting 类型的攻击中,攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据,以便离线破解密码。此攻击旨在通过请求服务票据,然后离线破解该服务帐户的凭据,来获取服务帐户的访问权限。Kerberoasting IoA 已涵盖经典的 Kerberoasting 方法。正如指标名称所述,有另一种使用隐蔽方法进行 Kerberoasting 攻击的方式,这种方式可以绕过许多检测机制。高级攻击者可能会偏好使用这种方式以避开大部分检测启发式方法。

  • DNSAdmins 利用是一种攻击方式,DNSAdmins 组中的成员可以借此接管运行 MicrosoftDNS 服务的域控制器。DNSAdmins 组中的成员有权在 Active DirectoryDNS 服务上执行管理任务。攻击者会滥用这些权利,以在高特权环境中执行恶意代码。

  • DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。Microsoft 识别出没有受支持的方法可用来轮换或更改这些密钥。因此,若域的 DPAPI 备份密钥泄露,他们建议重新创建一个全新的域,但这样做耗时长久且代价高昂。

  • 关键的 CVE-2021-42287 会提升标准帐户在该域上的权限。该缺陷源自错误地处理针对具有不存在的 sAMAccountName 属性对象的请求。该域控制器会自动在 sAMAccountName 值后面添加一个美元 ($) 符号(如未找到),进而冒充目标计算机帐户。

  • NTDS 提取

    critical

    NTDS 提取是指攻击者用来检索 NTDS.dit 数据库的技术。此文件存储 Active Directory 密钥,如密码哈希和 Kerberos 密钥。攻击者在访问此文件后,便可离线解析此文件的副本,从而提供 DCSync 攻击的替代方案来检索 Active Directory 的敏感内容。

  • 在 Kerberoasting 类型的攻击中,攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据,以便离线破解密码。此攻击旨在通过请求服务票据,然后离线破解该服务帐户的凭据,来获取服务帐户的访问权限。Kerberoasting 攻击指标需要激活 Tenable Identity Exposure 的 Honey Account(蜜罐帐户)功能,才能在有人尝试登录 Honey Account(蜜罐帐户)或此帐户收到票据请求时发出警报。

  • 在多台计算机上出现大量身份验证请求,使用 NTLM 或 Kerberos 协议并来自同一来源,这表明可能存在攻击。

  • 本地管理员组是通过 SAMR RPC 接口枚举的,很有可能是通过 BloodHound/SharpHound。


查看全部攻击指标

风险暴露指标


查看全部风险暴露指标