Tenable.ad インジケーター

さまざまなツールを使って、DNS サービスの何らかの設定ミスを悪用し、ドメインコントローラーに対して任意のコードを実行する可能性があります。

DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSA RPC コールを使ってドメインコントローラーからこのキーを抽出するための、さまざまな攻撃ツールが存在します。

攻撃者が sAMAccountName なりすまし (CVE-2021-42287 / CVE-2021-42278) に関連する脆弱性を悪用しようとしました。

NTDS Extraction 攻撃の構成要素は、特権攻撃者がドメインコントローラーのローカルファイル NTDS.dit によって表される Active Directory ドメインデータベースのコピーを盗み出すことです。攻撃者は、NTDS.dit ファイルの既存のバックアップにアクセスしたり新しいバックアップを作成したりして、資格情報を盗んだり、デバイス、ユーザー、アクセス権などのドメインメンバーに関するその他の情報を取得したりする可能性があります。

Kerberoasting 攻撃では、攻撃者は Kerberos サービスチケットを要求し、このサービスチケットの暗号化された技術的な部分に対して後からオフラインのブルートフォースアタックを実行します。これらの部分はターゲットとなったサービスアカウントのパスワードによって暗号化されているため、パスワード複雑度が低すぎる場合、パスワードが推測され、サービスアカウントが侵害される可能性があります。このインジケーターが十分に機能するための前提条件として、監視対象ドメインごとに Tenable.ad ハニーアカウントが適切に構成されている必要があります。

複数のコンピューターに対し、NTLM または Kerberos プロトコルを使用して同じソースから大量の認証要求が送信された場合、攻撃の兆候である可能性があります。

ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して SAMR RPC インターフェイスで列挙されました。

PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。

パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。

パスワード推測 (ブルートフォース)攻撃は、推測がいずれは当たることを期待して、攻撃者が大量のパスワード (またはパスフレーズ)を送信する攻撃です。攻撃者は、正しいパスワードまたはパスフレーズが見つかるまで、考えうるすべてのパスワードまたはパスフレーズを体系的にチェックします。

ランサムウェアに対する堅牢化の強化策がドメイン で展開されています

WindowsPublic Key Infrastructure (PKI)に関連した危険なアクセス許可と間違って構成されたパラメーターをリストする

ドメインコンピューター上で適用されているGPOsが健全であることを確認してください。

特権ユーザーはより権限の少ないマシンに接続できるため、資格情報が盗まれるリスクがある

CVE-2020-1472 ( [Zerologon] )はNetlogonプロトコルに影響し、特権の昇格を許可します

Credential roaming 属性は脆弱なため、関連するユーザーの保護された秘密情報が攻撃者から読み取られる可能性があります。

一部のクリアテキストのパスワードがすべてのドメインのユーザーから読み取られる可能性がある

間違って構成された機密性の高い特権は、ディレクトリインフラストラクチャのセキュリティを低下させます。

特権オブジェクトにマップされた証明書が設定されていないことを確認します

複数のチェック堅牢化GPOがドメイン上に展開された