https://www.tenable.com/indicators/feeds?type=ioa 獲取最新的 Indicators of Attack 更新 Fri, 17 Apr 2026 01:48:40 GMT https://validator.w3.org/feed/docs/rss2.html 指標 https://www.tenable.com/themes/custom/tenable/img/favicons/apple-touch-icon.png https://www.tenable.com/indicators/feeds?type=ioa 版權所有 2026 Tenable, Inc. 保留所有權利。 https://www.tenable.com/indicators/ioa/I-MassiveComputersRecon https://www.tenable.com/indicators/ioa/I-MassiveComputersRecon 嚴重性: Low

名稱

大規模電腦偵察

說明

多部電腦上出現使用 NTLM 或 Kerberos 通訊協定且來源相同的大量驗證請求，可能是攻擊的跡象，有可能與 BloodHound/SharpHound 有關。

閱讀更多: https://www.tenable.com/indicators/ioa/I-MassiveComputersRecon

]]> https://www.tenable.com/indicators/ioa/I-DcPasswordChange https://www.tenable.com/indicators/ioa/I-DcPasswordChange 嚴重性: Critical

名稱

可疑的 DC 密碼變更

說明

名為 Zerologon 的嚴重 CVE-2020-1472 是一種濫用 Netlogon 通訊協定加密缺陷的攻擊，攻擊者可藉此在任何電腦上與網域控制器建立 Netlogon 安全通道。透過此攻擊，攻擊者可以使用多種後滲透攻擊手法做到特權提升，例如變更網域控制器帳戶密碼​、強制驗證、DCSync 攻擊等。人們經常誤以為 ZeroLogon 利用是使用實際 Netlogon 偽造驗證繞過的後滲透攻擊活動 (由攻擊指標 (IoA)「Zerologon 刺探利用」解決)。此指標著重於可以結合 Netlogon 弱點使用的後滲透攻擊活動之一​：修改網域控制器裝置帳戶密碼。

閱讀更多: https://www.tenable.com/indicators/ioa/I-DcPasswordChange

]]> https://www.tenable.com/indicators/ioa/I-GoldenTicket https://www.tenable.com/indicators/ioa/I-GoldenTicket 嚴重性: Critical

名稱

Golden Ticket

說明

Golden Ticket 攻擊可取得 Active Directory 金鑰發布服務帳戶 (KRBTGT) 控制權，且攻擊者會使用該帳戶建立有效的 Kerberos Ticket 授權的工單 (TGTs)。

閱讀更多: https://www.tenable.com/indicators/ioa/I-GoldenTicket

]]> https://www.tenable.com/indicators/ioa/I-DCShadow https://www.tenable.com/indicators/ioa/I-DCShadow 嚴重性: Critical

名稱

DCShadow

說明

DCShadow 是另一種後期 kill chain 攻擊，讓具有特權憑證的攻擊者可以註冊未經授權的網域控制器，以透過網域複製程序任意變更網域 (例如套用禁止的 sidHistory 值)。

閱讀更多: https://www.tenable.com/indicators/ioa/I-DCShadow

]]> https://www.tenable.com/indicators/ioa/I-DnsAdmins https://www.tenable.com/indicators/ioa/I-DnsAdmins 嚴重性: High

名稱

DnsAdmins 刺探利用

說明

DNSAdmins 刺探利用攻擊允許 DNSAdmins 群組的成員控制執行 MicrosoftDNS 服務的網域控制器。DNSAdmins 群組的成員有權在 Active Directory DNS 服務上執行系統管理工作。攻擊者可能會濫用這些權利，在高特權環境中執行惡意程式碼。

閱讀更多: https://www.tenable.com/indicators/ioa/I-DnsAdmins

]]> https://www.tenable.com/indicators/ioa/I-ReconAdminsEnum https://www.tenable.com/indicators/ioa/I-ReconAdminsEnum 嚴重性: Low

名稱

本機管理員列舉

說明

本機管理員群組是透過 SAMR RPC 介面列舉 (可能是透過 BloodHound/SharpHound)。

閱讀更多: https://www.tenable.com/indicators/ioa/I-ReconAdminsEnum

]]> https://www.tenable.com/indicators/ioa/I-DCSync https://www.tenable.com/indicators/ioa/I-DCSync 嚴重性: Critical

名稱

DCSync

說明

Mimikatz 中的 DCSync 命令允許攻擊者冒充網域控制器，並從其他網域控制器擷取密碼雜湊和加密金鑰，無需在目標上執行任何程式碼。

閱讀更多: https://www.tenable.com/indicators/ioa/I-DCSync

]]> https://www.tenable.com/indicators/ioa/I-PasswordSpraying https://www.tenable.com/indicators/ioa/I-PasswordSpraying 嚴重性: Medium

名稱

密碼噴濺

說明

密碼噴濺是一種嘗試使用幾個常用密碼來存取大量帳戶 (使用者名稱) 的攻擊，也稱為慢速攻擊法

閱讀更多: https://www.tenable.com/indicators/ioa/I-PasswordSpraying

]]> https://www.tenable.com/indicators/ioa/I-PetitPotam https://www.tenable.com/indicators/ioa/I-PetitPotam 嚴重性: Critical

名稱

PetitPotam

說明

PetitPotam 工具可用於將目標裝置的驗證強制轉型至遠端系統，通常用於執行 NTLM 轉送攻擊。如果 PetitPotam 以網域控制器為目標，則攻擊者可以驗證中繼網域控制器驗證的另一部網絡裝置。

閱讀更多: https://www.tenable.com/indicators/ioa/I-PetitPotam

]]> https://www.tenable.com/indicators/ioa/I-ProcessInjectionLsass https://www.tenable.com/indicators/ioa/I-ProcessInjectionLsass 嚴重性: Critical

名稱

作業系統憑證傾印: LSASS記憶體

說明

使用者登入後，攻擊者會嘗試存取儲存在「本機安全性授權子系統服務」(LSASS) 處理程序記憶體中的憑證資料。

閱讀更多: https://www.tenable.com/indicators/ioa/I-ProcessInjectionLsass

]]> https://www.tenable.com/indicators/ioa/I-AdDpapiKey https://www.tenable.com/indicators/ioa/I-AdDpapiKey 嚴重性: Critical

名稱

DPAPI 網域備份金鑰擷取

說明

DPAPI 網域備份金鑰是復原 DPAPI 密碼的重要關鍵。各式各樣的攻擊工具會使用 LSARPC 呼叫，設法從網域控制器中擷取這些金鑰。Microsoft 確認沒有任何支援方法可變換或變更這些金鑰。因此，若網域的 DPAPI 備份金鑰遭到入侵，系統會建議您重新建立全新的網域，這會導致作業的成本與時間增加。

閱讀更多: https://www.tenable.com/indicators/ioa/I-AdDpapiKey

]]> https://www.tenable.com/indicators/ioa/I-BruteForce https://www.tenable.com/indicators/ioa/I-BruteForce 嚴重性: Medium

名稱

密碼猜測

說明

暴力密碼猜測攻擊會提交並檢查所有可能的密碼 (包括複雜密碼)，直到找到正確的密碼。

閱讀更多: https://www.tenable.com/indicators/ioa/I-BruteForce

]]> https://www.tenable.com/indicators/ioa/I-Kerberoasting https://www.tenable.com/indicators/ioa/I-Kerberoasting 嚴重性: Medium

名稱

Kerberoasting

說明

Kerberoasting 是一種鎖定 Active Directory 服務帳戶憑證，以離線破解密碼的攻擊類型。此攻擊旨在透過請求服務工單，然後離線破解服務帳戶的憑證，來取得服務帳戶的存取權。Kerberoasting 攻擊指標要求啟用 Tenable Identity Exposure 的誘捕帳戶功能，以便在嘗試登入誘捕帳戶或此帳戶收到工單要求時傳送警示。

閱讀更多: https://www.tenable.com/indicators/ioa/I-Kerberoasting

]]> https://www.tenable.com/indicators/ioa/I-NtdsExtraction https://www.tenable.com/indicators/ioa/I-NtdsExtraction 嚴重性: Critical

名稱

NTDS 擷取

說明

NTDS 洩漏是指攻擊者用以擷取 NTDS.dit 資料庫的手法。此檔案會儲存 Active Directory 密碼，例如密碼雜湊和 Kerberos 金鑰。攻擊者取得存取權後，會離線剖析此檔案的副本，藉此用另一種方式發動 DCSync 攻擊來擷取 Active Directory 的機密內容。

閱讀更多: https://www.tenable.com/indicators/ioa/I-NtdsExtraction

]]> https://www.tenable.com/indicators/ioa/I-SamNameImpersonation https://www.tenable.com/indicators/ioa/I-SamNameImpersonation 嚴重性: Critical

名稱

SAMAccountName 假冒

說明

嚴重 CVE-2021-42287 會導致標準帳戶在網域上的特權提高。該缺陷是對目標為包含不存在 sAMAccountName 屬性的物件之要求處理不當所致。網域控制器會在 sAMAccountName 值後自動新增美元符號 ($) (如果沒有找到)，這可能會導致假冒目標電腦帳戶。

閱讀更多: https://www.tenable.com/indicators/ioa/I-SamNameImpersonation

]]> https://www.tenable.com/indicators/ioa/I-UnauthKerberoasting https://www.tenable.com/indicators/ioa/I-UnauthKerberoasting 嚴重性: Medium

名稱

未經驗證的 Kerberoasting

說明

Kerberoasting 是一種鎖定 Active Directory 服務帳戶憑證，以離線破解密碼的攻擊類型。此攻擊旨在透過請求服務工單，然後離線破解服務帳戶的憑證，來取得服務帳戶的存取權。Kerberoasting 攻擊指標 (IoA) 有涵蓋典型的 Kerberoasting 方法。正如指標名稱所述，還有另外一種途徑可以發動 Kerberoasting 攻擊，此途徑採用隱密的方式繞過各種偵測。老練的攻擊者可能傾向於採用此方法，以便繞過大多數的偵測啟發式。

閱讀更多: https://www.tenable.com/indicators/ioa/I-UnauthKerberoasting

]]> https://www.tenable.com/indicators/ioa/I-Zerologon https://www.tenable.com/indicators/ioa/I-Zerologon 嚴重性: Critical

名稱

Zerologon 刺探利用

說明

名為 Zerologon 的弱點與 Windows Server 中的嚴重弱點 (CVE-2020-1472) 相關，在 Microsoft 的 CVSS 評分系統中為 10.0 分。當攻擊者使用 Netlogon 遠端通訊協定 (MS-NRPC) 與網域控制器建立易受攻擊的 Netlogon 安全通道連線時，此弱點會提高特權。攻擊者可利用此弱點入侵網域並取得網域管理員特權。

閱讀更多: https://www.tenable.com/indicators/ioa/I-Zerologon

]]>