攻撃インジケーター
| 名前 | 説明 | 深刻度 |
|---|---|---|
| 不審な DC パスワードの変更 | Zerologon と名付けられた重大な CVE-2020-1472 は、Netlogon プロトコルの暗号化の欠陥を悪用する攻撃であり、攻撃者は任意のコンピューターと同様にドメインコントローラーを使用して Netlogon の安全なチャネルを確立できます。そこから、ドメインコントローラーアカウントのパスワード変更、強制認証、DCSync 攻撃など、複数の侵入後のテクニックを使用して権限昇格を実現する可能性があります。ZeroLogon エクスプロイトは、実際の Netlogon 偽装認証バイパス (IOA「Zerologon 悪用」により対処済み) を使用した侵入後の活動と混同されることがしばしばあります。このインジケーターは、Netlogon 脆弱性と合わせて利用できる侵入後の活動の 1 つ、すなわちドメインコントローラーマシンのアカウントパスワードの変更に焦点を当てています。 | critical |
| Zerologon エクスプロイト | Zerologon と呼ばれる脆弱性は、Microsoft から CVSS / 10.0 スコアを受けた Windows Server の重大な脆弱性 (CVE-2020-1472) と関連しています。それは、攻撃者が Netlogon リモートプロトコル (MS-NRPC) を使用して、ドメインコントローラーへの脆弱な Netlogon セキュアチャネル接続を確立する場合に存在する権限の昇格で構成されています。この脆弱性により、攻撃者がドメインを侵害し、ドメイン管理者権限を取得する可能性があります。 | critical |
| 認証されていない Kerberoasting | Kerberoasting は、Active Directory サービスアカウントの資格情報を標的にしてオフラインのパスワードクラッキングを行う攻撃手法の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの資格情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。従来の Kerberoasting 手法は、 | medium |
| DnsAdmins エクスプロイト | DNSAdmins エクスプロイトは、MicrosoftDNS サービスを実行しているドメインコントローラーの制御を DNSAdmins グループのメンバーが乗っ取ることを可能にする攻撃です。DNSAdmins グループのメンバーには、Active DirectoryDNS サービスの管理タスクを実行する権限があります。攻撃者はこの権限を悪用して、高い特権を持った文脈に悪意のあるコードを埋め込み、実行できます。 | high |
| DPAPI ドメインバックアップキー抽出 | DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSARPC コールを使ってドメインコントローラーからこれらのキーを抽出しようとする、さまざまな攻撃ツールが存在します。Microsoft はこれらのキーをローテーションさせたり、変更したりするためのサポートされたメソッドがないことを認識しています。そこで、ドメインの DPAPI バックアップキーが侵害された場合は、新しいドメイン全体を一から作成することを推奨していますが、これにはコストと時間がかかります。 | critical |
| SAMAccountName なりすまし | 重大度の高い CVE-2021-42287 は、標準アカウントからのドメインの権限の昇格につながる可能性があります。この欠陥は、存在しない sAMAccountName 属性を持つオブジェクトを対象とするリクエストの不適切な処理によって生じます。ドル記号 ($) が見つからない場合、ドメインコントローラーは sAMAccountName 値の末尾にドル記号 ($) を自動的に追加します。これによって、標的のコンピューターアカウントのなりすましが生じる可能性があります。 | high |
| NTDS 抽出 | NTDS 抽出とは、攻撃者が NTDS.dit データベースを取得するために使用する手法のことです。このファイルには、パスワードハッシュや Kerberos キーなどの Active Directory シークレットが格納されます。一度アクセスできれば、攻撃者はこのファイルのコピーをオフラインで解析し、Active Directory の機密性の高いコンテンツを取得するための DCSync 攻撃に代わる手段が使用できるようになります。 | critical |
| Kerberoasting | Kerberoasting は、Active Directory サービスアカウントの認証情報を標的にしてオフラインのパスワードクラッキングを行う攻撃手法の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの資格情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。このKerberoasting 攻撃インジケーターは、Honey アカウントにログイン試行があった場合や、このアカウントにチケットのリクエストが送られた場合にアラートを送信できるよう、Tenable Identity Exposure の Honey アカウントでアラート機能を有効にすることを必要とします。 | medium |
| 大量のコンピューターに対する偵察 | 複数のコンピューターに対し、NTLM または Kerberos プロトコルを使用して同じソースから大量の認証要求が送信された場合、攻撃の兆候である可能性があります。 | low |
| ローカル管理者の列挙 | ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して SAMR RPC インターフェースで列挙されました。 | low |
| PetitPotam | PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。PetitPotam がドメインコントローラーを標的としている場合、攻撃者はドメインコントローラーの認証をリレーする別のネットワークマシンに対して認証を行うことができます。 | critical |
| パスワードスプレー | パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。 | medium |
| パスワード推測 | brute-force パスワード推測攻撃では、正しいパスワードが見つかるまで、考えられるすべてのパスワードとパスフレーズを送信してチェックします。 | medium |
| DCShadow | DCShadow は、後期段階の kill chain 攻撃の 1 つです。この攻撃では、特権資格情報を持つ攻撃者が、ドメインレプリケーションによりドメインに変更をプッシュするために、ローグドメインコントローラーを登録します。 | critical |
| OS 資格情報ダンプ: LSASSメモリ | ユーザーがログオンした後、ローカルセキュリティ機関サブシステムサービス (LSASS) のプロセスメモリに保存されている認証情報マテリアルに攻撃者がアクセスしようとすることがあります。 | critical |
| Golden Ticket | Golden Ticket 攻撃では Active DirectoryKey Distribution Service アカウント (KRBTGT) に対する制御を獲得し、そのアカウントを使用して有効な Kerberos Ticket Granting Tickets (TGTs) を作成します。 | critical |
| DCSync | Mimikatz の DCSync コマンドにより、攻撃者はドメインコントローラーをシミュレートして、ターゲット上でコードを一切実行することなく、他のドメインコントローラーからパスワードハッシュと暗号化キーを取得できます。 | critical |