攻击指标

名称描述严重程度
可疑的 DC 密码更改

被称作 Zerologon 的严重 CVE-2020-1472 是一种滥用 Netlogon 协议加密漏洞的攻击,可让攻击者在任何计算机上与域控制器建立 Netlogon 安全通道。通过此攻击,攻击者可以使用多种后渗透攻击技术实现特权提升,例如修改域控制器帐户密码​、强制身份验证、DCSync 攻击等。人们经常误以为 ZeroLogon 漏洞是使用实际的 Netlogon 伪造身份验证绕过的后渗透攻击活动(由 IoA“Zerologon 利用”解决)。此指标聚焦于可以结合 Netlogon 漏洞使用的后渗透攻击活动之一​ :修改域控制器计算机帐户密码。

critical
Zerologon渗透攻击

名为 Zerologon 的漏洞与 Windows Server 中的严重漏洞 (CVE-2020-1472) 相关,在 Microsoft 的 CVSS 评分系统中获得了 10.0 分。当攻击者使用 Netlogon 远程协议 (MS-NRPC),与域控制器建立易受攻击的 Netlogon 安全通道连接时,此漏洞会提升特权。攻击者可利用此漏洞入侵域并获得域管理员特权。

critical
未经身份验证的 Kerberoasting

在 Kerberoasting 类型的攻击中,攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据,以便离线破解密码。此攻击旨在通过请求服务票据,然后离线破解该服务帐户的凭据,来获取服务帐户的访问权限。Kerberoasting IoA 已涵盖经典的 Kerberoasting 方法。正如指标名称所述,有另一种使用隐蔽方法进行 Kerberoasting 攻击的方式,这种方式可以绕过许多检测机制。高级攻击者可能会偏好使用这种方式以避开大部分检测启发式方法。

medium
DnsAdmins渗透攻击

DNSAdmins 利用是一种攻击方式,DNSAdmins 组中的成员可以借此接管运行 MicrosoftDNS 服务的域控制器。DNSAdmins 组中的成员有权在 Active DirectoryDNS 服务上执行管理任务。攻击者会滥用这些权利,以在高特权环境中执行恶意代码。

high
DPAPI 域备份密钥提取

DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。Microsoft 识别出没有受支持的方法可用来轮换或更改这些密钥。因此,若域的 DPAPI 备份密钥泄露,他们建议重新创建一个全新的域,但这样做耗时长久且代价高昂。

critical
SAMAccountName 冒充

关键的 CVE-2021-42287 会提升标准帐户在该域上的权限。该缺陷源自错误地处理针对具有不存在的 sAMAccountName 属性对象的请求。该域控制器会自动在 sAMAccountName 值后面添加一个美元 ($) 符号(如未找到),进而冒充目标计算机帐户。

high
NTDS 提取

NTDS 提取是指攻击者用来检索 NTDS.dit 数据库的技术。此文件存储 Active Directory 密钥,如密码哈希和 Kerberos 密钥。攻击者在访问此文件后,便可离线解析此文件的副本,从而提供 DCSync 攻击的替代方案来检索 Active Directory 的敏感内容。

critical
Kerberoasting

在 Kerberoasting 类型的攻击中,攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据,以便离线破解密码。此攻击旨在通过请求服务票据,然后离线破解该服务帐户的凭据,来获取服务帐户的访问权限。Kerberoasting 攻击指标需要激活 Tenable Identity Exposure 的 Honey Account(蜜罐帐户)功能,才能在有人尝试登录 Honey Account(蜜罐帐户)或此帐户收到票据请求时发出警报。

medium
大规模计算机侦查

在多台计算机上出现大量身份验证请求,使用 NTLM 或 Kerberos 协议并来自同一来源,这表明可能存在攻击。

low
本地管理员枚举

本地管理员组使用 SAMR RPC 界面枚举,这可能是通过 BloodHound/SharpHound 实现的。

low
PetitPotam

PetitPotam 工具可用于对远程系统的目标计算机强制进行身份验证,通常目的在于执行 NTLM 中继攻击。如果 PetitPotam 将目标锁定为域控制器,攻击者可以向中继域控制器身份验证的另一台网络机器进行身份验证。

critical
密码喷洒

密码喷洒攻击是指使用一些常用密码尝试访问大量帐户(用户名),也称为低速缓慢攻击

medium
密码猜测

brute-force 密码猜测攻击是指攻击者会提交并尝试所有可能,直至找到正确的密码和密码短语。

medium
DCShadow

DCShadow 是另一种后期 kill chain 攻击,具有特权凭据的攻击者可利用该攻击注册恶意域控制器,以便通过域复制将变更推送到域。

critical
操作系统凭据转储:LSASS 内存

用户登录后,攻击者可以尝试访问存储在 Local Security Authority Subsystem Service (LSASS) 进程内存中的凭据材料。

critical
Golden Ticket

在 Golden Ticket 攻击中,攻击者获得对 Active DirectoryKey Distribution Service 帐户 (KRBTGT) 的控制权,并使用该帐户创建有效的 Kerberos Ticket Granting Tickets (TGTs)。

critical
DCSync

攻击者可利用 Mimikatz 中的 DCSync 命令冒充成域控制器,且无需在目标上执行任何代码,即可从其他域控制器检索密码哈希和加密密钥。

critical