攻擊指標 (IoA)
| 名稱 | 說明 | 嚴重性 |
|---|---|---|
| 可疑的 DC 密碼變更 | 名為 Zerologon 的嚴重 CVE-2020-1472 是一種濫用 Netlogon 通訊協定加密缺陷的攻擊,攻擊者可藉此在任何電腦上與網域控制器建立 Netlogon 安全通道。透過此攻擊,攻擊者可以使用多種後滲透攻擊手法做到權限提升,例如變更網域控制器帳戶密碼、強制驗證、DCSync 攻擊等。人們經常誤以為 ZeroLogon 刺探利用是使用實際 Netlogon 偽造驗證繞過的後滲透攻擊活動 (由攻擊指標 (IoA)「Zerologon 刺探利用」解決)。此指標著重於可以結合 Netlogon 弱點使用的後滲透攻擊活動之一:修改網域控制器裝置帳戶密碼。 | critical |
| Zerologon 刺探利用 | 名為 Zerologon 的弱點與 Windows Server 中的嚴重弱點 (CVE-2020-1472) 相關,在 Microsoft 的 CVSS 評分系統中為 10.0 分。當攻擊者使用 Netlogon 遠端通訊協定 (MS-NRPC) 與網域控制器建立易受攻擊的 Netlogon 安全通道連線時,此弱點會提高權限。攻擊者可利用此弱點入侵網域並取得網域管理員特權。 | critical |
| 未經驗證的 Kerberoasting | Kerberoasting 是一種鎖定 Active Directory 服務帳戶憑證,以離線破解密碼的攻擊類型。此攻擊旨在透過請求服務工單,然後離線破解服務帳戶的憑證,來取得服務帳戶的存取權。 | medium |
| DnsAdmins 刺探利用 | DNSAdmins 刺探利用攻擊允許 DNSAdmins 群組的成員控制執行 MicrosoftDNS 服務的網域控制器。DNSAdmins 群組的成員有權在 Active Directory DNS 服務上執行系統管理工作。攻擊者可能會濫用這些權利,在高權限環境中執行惡意程式碼。 | high |
| DPAPI 網域備份金鑰擷取 | DPAPI 網域備份金鑰是復原 DPAPI 密碼的重要關鍵。各式各樣的攻擊工具會使用 LSARPC 呼叫,設法從網域控制器中擷取這些金鑰。Microsoft 確認沒有任何支援方法可變換或變更這些金鑰。因此,若網域的 DPAPI 備份金鑰遭到入侵,系統會建議您重新建立全新的網域,這會導致作業的成本與時間增加。 | critical |
| SAMAccountName 假冒 | 嚴重 CVE-2021-42287 會導致標準帳戶在網域上的權限提高。該缺陷是對目標為包含不存在 sAMAccountName 屬性的物件之要求處理不當所致。網域控制器會在 sAMAccountName 值後自動新增美元符號 ($) (如果沒有找到),這可能會導致假冒目標電腦帳戶。 | high |
| NTDS 擷取 | NTDS 洩漏是指攻擊者用以擷取 NTDS.dit 資料庫的手法。此檔案會儲存 Active Directory 密碼,例如密碼雜湊和 Kerberos 金鑰。攻擊者取得存取權後,會離線剖析此檔案的副本,藉此用另一種方式發動 DCSync 攻擊來擷取 Active Directory 的機密內容。 | critical |
| Kerberoasting | Kerberoasting 是一種鎖定 Active Directory 服務帳戶憑證,以離線破解密碼的攻擊類型。此攻擊旨在透過請求服務工單,然後離線破解服務帳戶的憑證,來取得服務帳戶的存取權。Kerberoasting 攻擊指標要求啟用 Tenable Identity Exposure 的誘捕帳戶功能,以便在嘗試登入誘捕帳戶或此帳戶收到工單要求時傳送警示。 | medium |
| 大規模電腦偵察 | 多部電腦上的大量驗證請求,使用 NTLM 或 Kerberos 通訊協定且來自相同來源,可能是攻擊的跡象。 | low |
| 本機管理員列舉 | 本機管理員群組是透過介面 SAMR RPC 被列舉,更有可能是透過 BloodHound/SharpHound。 | low |
| PetitPotam | PetitPotam 工具可用於將目標裝置的驗證強制轉型至遠端系統,通常用於執行 NTLM 轉送攻擊。如果 PetitPotam 以網域控制器為目標,則攻擊者可以驗證中繼網域控制器驗證的另一部網絡裝置。 | critical |
| 密碼噴濺 | 密碼噴濺是一種嘗試使用幾個常用密碼來存取大量帳戶 (使用者名稱) 的攻擊,也稱為慢速攻擊法 | medium |
| 密碼猜測 | brute-force 密碼猜測攻擊為提交並檢查所有可能的密碼,直到找到正確的密碼。 | medium |
| DCShadow | DCShadow 是另一種後期 kill chain 攻擊,它能允許具有特權憑證的攻擊者註冊流氓網域控制器,以透過網域複製推送變更至網域。 | critical |
| 作業系統憑證傾印: LSASS記憶體 | 使用者登入後,攻擊者會嘗試存取儲存在「本機安全性授權子系統服務」(LSASS) 處理程序記憶體中的憑證資料。 | critical |
| Golden Ticket | Golden Ticket 攻擊可取得 Active Directory 金鑰發布服務帳戶 (KRBTGT) 控制權,且攻擊者會使用該帳戶建立有效的 Kerberos 工單授予工單 (TGTs)。 | critical |
| DCSync | Mimikatz 中的 DCSync 命令允許攻擊者冒充網域控制器,並從其他網域控制器擷取密碼雜湊和加密金鑰,無需在目標上執行任何程式碼。 | critical |