DPAPI 域备份密钥提取

critical

描述

DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。

参见

CQLabs - Extracting Roamed Private Keys from Active Directory

Operational Guidance for Offensive User DPAPI Abuse

DPAPI 密钥

指标详细信息

名称: DPAPI 域备份密钥提取

代码名称: I-AdDpapiKey

严重程度: Critical

MITRE ATT&CK 信息:
ID:T1552.004
子技术归属:T1552
策略:TA0006