Shadow Credentials
high
語言:
說明
Shadow Credentials 後門程式技術會利用正當的 Microsoft「Windows Hello 企業版」功能。如果 Active Directory 並未使用此功能,則可輕鬆偵測此潛伏機制。如果有使用此功能,錯誤設定可能代表較不理想或不佳的管理做法。
解決方案
Windows Hello 企業版功能中的金鑰憑證錯誤設定對於 Active Directory 安全性可能產生重大影響,而有可能引入替代的驗證方法,因此必須妥善留意和監控這些錯誤設定。
另請參閱
Black Hat Europe 2019 - Exploiting Windows Hello for Business
Shadow Credentials Abusing Key Trust Account Mapping for Account Takeover
Parsing the msDS-KeyCredentialLink value for ShadowCredentials attack
指標詳細資料
名稱: Shadow Credentials
代碼名稱: C-SHADOW-CREDENTIALS
嚴重性: High
類型: Active Directory Indicator of Exposure
Family: 驗證和憑證
- 手法: TA0003 - 長期潛伏
- 技術: T1098 - 帳戶操控
- 手法: TA0006 - 憑證存取
- 技術: T1556 - 修改驗證程序
攻擊者已知工具
Michael Grafnetter: DSInternals
Elad Shamir: Whisker
Charlie Bromberg: pywhisker