攻击指标
| 名称 | 描述 | 严重程度 |
|---|---|---|
| DNS Enumeration | DNS zone transfer is a legitimate feature to replicate a DNS zone from a primary DNS server to a secondary one, using the AXFR query type.However, attackers often abuse this mechanism during the reconnaissance phase in order to retrieve all DNS records, providing them valuable information for attacking the environment.In particular, a successful DNS zone transfer can give an attacker useful information about the computers listed in the DNS zone, how to access them and also guessing their roles.Note that failed zone transfer (ex. not having the necessary rights, zone transfer not configured on the server, etc.) are also detected. | low |
| 可疑的 DC 密码更改 | 被称作 Zerologon 的严重 CVE-2020-1472 是一种滥用 Netlogon 协议加密漏洞的攻击,可让攻击者在任何计算机上与域控制器建立 Netlogon 安全通道。通过此攻击,攻击者可以使用多种后渗透攻击技术实现特权提升,例如修改域控制器帐户密码、强制身份验证、DCSync 攻击等。人们经常误以为 ZeroLogon 漏洞是使用实际的 Netlogon 伪造身份验证绕过的后渗透攻击活动(由 IoA“Zerologon 利用”解决)。此指标聚焦于可以结合 Netlogon 漏洞使用的后渗透攻击活动之一 :修改域控制器计算机帐户密码。 | critical |
| Zerologon渗透攻击 | 名为 Zerologon 的漏洞与 Windows Server 中的严重漏洞 (CVE-2020-1472) 相关,在 Microsoft 的 CVSS 评分系统中获得了 10.0 分。当攻击者使用 Netlogon 远程协议 (MS-NRPC),与域控制器建立易受攻击的 Netlogon 安全通道连接时,此漏洞会提升特权。攻击者可利用此漏洞入侵域并获得域管理员特权。 | critical |
| 未经身份验证的 Kerberoasting | 在 Kerberoasting 类型的攻击中,攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据,以便离线破解密码。此攻击旨在通过请求服务票据,然后离线破解该服务帐户的凭据,来获取服务帐户的访问权限。 | medium |
| DnsAdmins渗透攻击 | DNSAdmins 利用是一种攻击方式,DNSAdmins 组中的成员可以借此接管运行 MicrosoftDNS 服务的域控制器。DNSAdmins 组中的成员有权在 Active DirectoryDNS 服务上执行管理任务。攻击者会滥用这些权利,以在高特权环境中执行恶意代码。 | high |
| DPAPI 域备份密钥提取 | DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。 | critical |
| SAMAccountName 模拟 | 关键的 CVE-2021-42287 会提升标准帐户在该域上的权限。该缺陷源自错误地处理针对具有不存在的 sAMAccountName 属性对象的请求。该域控制器会自动在 sAMAccountName 值后面添加一个美元 ($) 符号(如未找到),进而冒充目标计算机帐户。 | high |
| NTDS 提取 | NTDS 提取是指攻击者用来检索 NTDS.dit 数据库的技术。此文件存储 Active Directory 密钥,如密码哈希和 Kerberos 密钥。攻击者在访问此文件后,便可离线解析此文件的副本,从而提供 DCSync 攻击的替代方案来检索 Active Directory 的敏感内容。 | critical |
| Kerberoasting | 在 Kerberoasting 类型的攻击中,攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据,以便离线破解密码。此攻击旨在通过请求服务票据,然后离线破解该服务帐户的凭据,来获取服务帐户的访问权限。Kerberoasting 攻击指标需要激活 Tenable.ad 的 Honey Account(蜜罐帐户)功能,才能在有人尝试登录 Honey Account(蜜罐帐户)或此帐户收到票据请求时发出警报。 | medium |
| 大规模计算机侦查 | 在多台计算机上出现大量身份验证请求,使用 NTLM 或 Kerberos 协议并来自同一来源,这表明可能存在攻击。 | low |
| 本地管理员枚举 | 已使用 SAMR RPC 界面(更可能使用 BloodHound/SharpHound)枚举本地管理员组 | low |
| PetitPotam | PetitPotam 工具可用于对远程系统的目标计算机强制进行身份验证,通常目的在于执行 NTLM 中继攻击。如果 PetitPotam 将目标锁定为域控制器,攻击者可以向中继域控制器身份验证的另一台网络机器进行身份验证。 | critical |
| 密码喷洒 | 密码喷洒攻击是指使用一些常用密码尝试访问大量帐户(用户名),也称为低速缓慢攻击 | medium |
| 密码猜测 | brute-force 密码猜测攻击是指攻击者会提交并尝试所有可能,直至找到正确的密码和密码短语。 | medium |
| DCShadow | DCShadow 是另一种后期 kill chain 攻击,具有特权凭据的攻击者可利用该攻击注册恶意域控制器,以便通过域复制将变更推送到域。 | critical |
| 操作系统凭据转储:LSASS 内存 | 用户登录后,攻击者可以尝试访问存储在 Local Security Authority Subsystem Service (LSASS) 进程内存中的凭据材料。 | critical |
| Golden Ticket | 在 Golden Ticket 攻击中,攻击者获得对 Active DirectoryKey Distribution Service 帐户 (KRBTGT) 的控制权,并使用该帐户创建有效的 Kerberos Ticket Granting Tickets (TGTs)。 | critical |
| DCSync | 攻击者可利用 Mimikatz 中的 DCSync 命令冒充成域控制器,且无需在目标上执行任何代码,即可从其他域控制器检索密码哈希和加密密钥。 | critical |