指標

名為 Zerologon 的嚴重 CVE-2020-1472 是一種濫用 Netlogon 通訊協定加密缺陷的攻擊，攻擊者可藉此在任何電腦上與網域控制器建立 Netlogon 安全通道。透過此攻擊，攻擊者可以使用多種後滲透攻擊手法做到權限提升，例如變更網域控制器帳戶密碼​、強制驗證、DCSync 攻擊等。人們經常誤以為 ZeroLogon 刺探利用是使用實際 Netlogon 偽造驗證繞過的後滲透攻擊活動 (由攻擊指標 (IoA)「Zerologon 刺探利用」解決)。此指標著重於可以結合 Netlogon 弱點使用的後滲透攻擊活動之一​：修改網域控制器裝置帳戶密碼。

名為 Zerologon 的弱點與 Windows Server 中的嚴重弱點 (CVE-2020-1472) 相關，在 Microsoft 的 CVSS 評分系統中為 10.0 分。當攻擊者使用 Netlogon 遠端通訊協定 (MS-NRPC) 與網域控制器建立易受攻擊的 Netlogon 安全通道連線時，此弱點會提高權限。攻擊者可利用此弱點入侵網域並取得網域管理員特權。

Kerberoasting 是一種鎖定 Active Directory 服務帳戶憑證，以離線破解密碼的攻擊類型。此攻擊旨在透過請求服務工單，然後離線破解服務帳戶的憑證，來取得服務帳戶的存取權。Kerberoasting 攻擊指標 (IoA) 有涵蓋典型的 Kerberoasting 方法。正如指標名稱所述，還有另外一種途徑可以發動 Kerberoasting 攻擊，此途徑採用隱密的方式繞過各種偵測。老練的攻擊者可能傾向於採用此方法，以便繞過大多數的偵測啟發式。

DNSAdmins 刺探利用攻擊允許 DNSAdmins 群組的成員控制執行 MicrosoftDNS 服務的網域控制器。DNSAdmins 群組的成員有權在 Active Directory DNS 服務上執行系統管理工作。攻擊者可能會濫用這些權利，在高權限環境中執行惡意程式碼。

DPAPI 網域備份金鑰是復原 DPAPI 密碼的重要關鍵。各式各樣的攻擊工具會使用 LSARPC 呼叫，設法從網域控制器中擷取這些金鑰。Microsoft 確認沒有任何支援方法可變換或變更這些金鑰。因此，若網域的 DPAPI 備份金鑰遭到入侵，系統會建議您重新建立全新的網域，這會導致作業的成本與時間增加。

嚴重 CVE-2021-42287 會導致標準帳戶在網域上的權限提高。該缺陷是對目標為包含不存在 sAMAccountName 屬性的物件之要求處理不當所致。網域控制器會在 sAMAccountName 值後自動新增美元符號 ($) (如果沒有找到)，這可能會導致假冒目標電腦帳戶。

NTDS 洩漏是指攻擊者用以擷取 NTDS.dit 資料庫的手法。此檔案會儲存 Active Directory 密碼，例如密碼雜湊和 Kerberos 金鑰。攻擊者取得存取權後，會離線剖析此檔案的副本，藉此用另一種方式發動 DCSync 攻擊來擷取 Active Directory 的機密內容。

Kerberoasting 是一種鎖定 Active Directory 服務帳戶憑證，以離線破解密碼的攻擊類型。此攻擊旨在透過請求服務工單，然後離線破解服務帳戶的憑證，來取得服務帳戶的存取權。Kerberoasting 攻擊指標要求啟用 Tenable Identity Exposure 的誘捕帳戶功能，以便在嘗試登入誘捕帳戶或此帳戶收到工單要求時傳送警示。

多部電腦上的大量驗證請求，使用 NTLM 或 Kerberos 通訊協定且來自相同來源，可能是攻擊的跡象。

本機管理員群組是透過介面 SAMR RPC 被列舉，更有可能是透過 BloodHound/SharpHound。

列出與 Windows Server 更新服務 (WSUS) 有關的錯誤設定參數。

檢查 "Distributed File System Replication" (DFS-R) 機制是否取代 "File Replication Service" (FRS)。

驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。

確認網域已建置強化措施，以防禦勒索軟體。

列出與 Windows 公開金鑰基礎架構 (PKI) 相關的危險權限和設定錯誤的參數。

驗證套用至網域電腦的群組原則物件 (GPO) 是否合理。

檢查可連線至特權較少裝置產生憑證遭竊風險的特權使用者。

CVE-2020-1472 (「Zerologon」) 會影響 Netlogon 通訊協定並允許權限提高

Credential roaming 屬性易受攻擊，使攻擊者可以讀取相關使用者保護的密碼。

檢查在網域使用者可讀取的屬性中包含潛在純文字密碼的物件。