Tenable.ad インジケーター
Tenable.ad は、脅威の予測、違反の検出、インシデントや攻撃への対応により、インフラストラクチャの安全を確保します。直感的なダッシュボードを使用してアクティブなディレクトリをリアルタイムに監視し、最も重大な脆弱性とその推奨修正案を一目で確認できます。Tenable.ad の攻撃インジケーターと露出インジケーターは、アクティブなディレクトリに影響を与える根本的な問題の検出、危険な信頼関係の特定、攻撃の詳細な分析を可能にします。
検索
攻撃インジケーター ›
認証されていない Kerberoasting
medium
Kerberoasting は、Active Directory サービスアカウントの資格情報を標的にしてオフラインのパスワードクラッキングを行う攻撃の型の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの資格情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。従来の Kerberoasting メソッドは、
KerberoastingIOA によって対応されています。インジケーターの名前でも言及されているように、Kerberoasting 攻撃には、多くの検出をかいくぐることができるステルス性のアプローチを取るメソッドもあります。高度な攻撃者は、大部分のヒューリスティック検知に見落とされることを期待して、このメソッドを好む場合があります。DnsAdmins 悪用
high
DNSAdmins エクスプロイトは、MicrosoftDNS サービスを実行しているドメインコントローラーの制御を DNSAdmins グループのメンバーが乗っ取ることを可能にする攻撃です。DNSAdmins グループのメンバーには、Active DirectoryDNS サービスの管理タスクを実行する権限があります。攻撃者はこの権限を悪用して、高度な特権コンテキストで悪意のあるコードを実行できます。
DPAPI ドメインバックアップキー抽出
critical
DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSARPC コールを使ってドメインコントローラーからこのキーを抽出しようとする、さまざまな攻撃ツールが存在します。
重大度の高い CVE-2021-42287 は、標準アカウントからのドメインの権限の昇格につながる可能性があります。この欠陥は、存在しない sAMAccountName 属性を持つオブジェクトを対象とするリクエストの不適切な処理によって生じます。ドル記号 ($) が見つからない場合、ドメインコントローラーは sAMAccountName 値の末尾にドル記号 ($) を自動的に追加します。これによって、標的のコンピューターアカウントのなりすましが生じる可能性があります。
NTDS 抽出
critical
NTDS 抽出とは、攻撃者が NTDS.dit データベースを取得するために使用する手法のことです。このファイルには、パスワードハッシュや Kerberos キーなどの Active Directory シークレットが格納されます。一度アクセスできれば、攻撃者はこのファイルのコピーをオフラインで解析し、Active Directory の機密性の高いコンテンツを取得するための DCSync 攻撃に代わる手段が使用できるようになります。
Kerberoasting
medium
Kerberoasting は、Active Directory サービスアカウントの資格情報を標的にしてオフラインのパスワードクラッキングを行う攻撃の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの資格情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。Kerberoasting 攻撃インジケーターでは、Honey アカウントにログイン試行があった場合や、このアカウントにチケットのリクエストが送られた場合にアラートを送信できるよう、Tenable.ad の Honey アカウント機能を有効にしておく必要があります。
複数のコンピューターに対し、NTLM または Kerberos プロトコルを使用して同じソースから大量の認証要求が送信された場合、攻撃の兆候である可能性があります。
ローカル管理者の列挙
low
ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して SAMR RPC インターフェースで列挙されました。
PetitPotam
critical
PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。PetitPotam がドメインコントローラーを標的としている場合、攻撃者はドメインコントローラーの認証をリレーする別のネットワークマシンに対して認証を行うことができます。
パスワードスプレー
medium
パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。
すべての攻撃インジケーターを見る ›
露出インジケーター ›
ランサムウェアに対する不十分な堅牢化
medium
ランサムウェアに対する堅牢化の強化策がドメイン で展開されています
ADCS の危険で間違った構成
critical
WindowsPublic Key Infrastructure (PKI)に関連した危険なアクセス許可と間違って構成されたパラメーターをリストする
GPO実行の健全性
high
ドメインコンピューター上で適用されているGPOsが健全であることを確認してください。
特権ユーザーのログオン制限
high
特権ユーザーはより権限の少ないマシンに接続できるため、資格情報が盗まれるリスクがある
Netlogonプロトコルの安全でない構成
critical
CVE-2020-1472 ( [Zerologon] )はNetlogonプロトコルに影響し、特権の昇格を許可します
Credential roaming 属性は脆弱なため、関連するユーザーの保護された秘密情報が攻撃者から読み取られる可能性があります。
一部のクリアテキストのパスワードがすべてのドメインのユーザーから読み取られる可能性がある
機密性の高い危険な特権
high
間違って設定された機密性の高い特権は、ディレクトリインフラストラクチャのセキュリティを低下させます。
アカウントにマップされた証明書
critical
特権オブジェクトにマップされた証明書が設定されていないことを確認します
複数のコンピューター堅牢化GPOのないドメイン
medium
複数のチェック堅牢化GPOがドメイン上に展開された