Tenable.ad インジケーター

Tenable.ad は、脅威の予測、違反の検出、インシデントや攻撃への対応により、インフラストラクチャの安全を確保します。直感的なダッシュボードを使用してアクティブなディレクトリをリアルタイムに監視し、最も重大な脆弱性とその推奨修正案を一目で確認できます。Tenable.ad の攻撃インジケーターと露出インジケーターは、アクティブなディレクトリに影響を与える根本的な問題の検出、危険な信頼関係の特定、攻撃の詳細な分析を可能にします。

検索

攻撃インジケーター

  • Kerberoasting は、Active Directory サービスアカウントの資格情報を標的にしてオフラインのパスワードクラッキングを行う攻撃の型の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの資格情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。従来の Kerberoasting メソッドは、Kerberoasting IOA によって対応されています。インジケーターの名前でも言及されているように、Kerberoasting 攻撃には、多くの検出をかいくぐることができるステルス性のアプローチを取るメソッドもあります。高度な攻撃者は、大部分のヒューリスティック検知に見落とされることを期待して、このメソッドを好む場合があります。

  • DNSAdmins エクスプロイトは、MicrosoftDNS サービスを実行しているドメインコントローラーの制御を DNSAdmins グループのメンバーが乗っ取ることを可能にする攻撃です。DNSAdmins グループのメンバーには、Active DirectoryDNS サービスの管理タスクを実行する権限があります。攻撃者はこの権限を悪用して、高度な特権コンテキストで悪意のあるコードを実行できます。

  • DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSARPC コールを使ってドメインコントローラーからこのキーを抽出しようとする、さまざまな攻撃ツールが存在します。

  • 重大度の高い CVE-2021-42287 は、標準アカウントからのドメインの権限の昇格につながる可能性があります。この欠陥は、存在しない sAMAccountName 属性を持つオブジェクトを対象とするリクエストの不適切な処理によって生じます。ドル記号 ($) が見つからない場合、ドメインコントローラーは sAMAccountName 値の末尾にドル記号 ($) を自動的に追加します。これによって、標的のコンピューターアカウントのなりすましが生じる可能性があります。

  • NTDS 抽出

    critical

    NTDS 抽出とは、攻撃者が NTDS.dit データベースを取得するために使用する手法のことです。このファイルには、パスワードハッシュや Kerberos キーなどの Active Directory シークレットが格納されます。一度アクセスできれば、攻撃者はこのファイルのコピーをオフラインで解析し、Active Directory の機密性の高いコンテンツを取得するための DCSync 攻撃に代わる手段が使用できるようになります。

  • Kerberoasting は、Active Directory サービスアカウントの資格情報を標的にしてオフラインのパスワードクラッキングを行う攻撃の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの資格情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。Kerberoasting 攻撃インジケーターでは、Honey アカウントにログイン試行があった場合や、このアカウントにチケットのリクエストが送られた場合にアラートを送信できるよう、Tenable.ad の Honey アカウント機能を有効にしておく必要があります。

  • 複数のコンピューターに対し、NTLM または Kerberos プロトコルを使用して同じソースから大量の認証要求が送信された場合、攻撃の兆候である可能性があります。

  • ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して SAMR RPC インターフェースで列挙されました。

  • PetitPotam

    critical

    PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。PetitPotam がドメインコントローラーを標的としている場合、攻撃者はドメインコントローラーの認証をリレーする別のネットワークマシンに対して認証を行うことができます。

  • パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。


すべての攻撃インジケーターを見る

露出インジケーター


すべての露出インジケーターを見る