Indicators of Attack

大量のコンピューターに対する偵察

深刻度: Low

名前

大量のコンピューターに対する偵察

説明

複数のコンピューターに対し、NTLM または Kerberos プロトコルを使用して同じソースから大量の認証要求が送信された場合、BloodHound/SharpHound を使用した攻撃の兆候である可能性があります。

詳細は、 https://www.tenable.com/indicators/ioa/I-MassiveComputersRecon

不審な DC パスワードの変更

深刻度: Critical

名前

不審な DC パスワードの変更

説明

Zerologon と名付けられた重大な CVE-2020-1472 は、Netlogon プロトコルの暗号化の欠陥を悪用する攻撃であり、攻撃者は任意のコンピューターと同様にドメインコントローラーを使用して Netlogon の安全なチャネルを確立できます。そこから、ドメインコントローラーアカウントのパスワード変更、強制認証、DCSync 攻撃など、複数の侵入後のテクニックを使用して権限昇格を実現する可能性があります。ZeroLogon エクスプロイトは、実際の Netlogon 偽装認証バイパス (IOA「Zerologon 悪用」により対処済み) を使用した侵入後の活動と混同されることがしばしばあります。このインジケーターは、Netlogon 脆弱性と合わせて利用できる侵入後の活動の 1 つ、すなわちドメインコントローラーマシンのアカウントパスワードの変更に焦点を当てています。

詳細は、 https://www.tenable.com/indicators/ioa/I-DcPasswordChange

Golden Ticket

深刻度: Critical

名前

Golden Ticket

説明

Golden Ticket 攻撃では Active Directory キー配布サービスアカウント (KRBTGT) に対する制御を獲得し、そのアカウントを使用して有効な Kerberos Ticket Granting Ticket (TGTs) を作成します。

詳細は、 https://www.tenable.com/indicators/ioa/I-GoldenTicket

DCShadow

深刻度: Critical

名前

DCShadow

説明

DCShadow は、後期段階の別の kill chain 攻撃です。この攻撃では、特権認証情報を持つ攻撃者が、ドメインレプリケーションによりドメインに任意の変更 (例: 禁止されている sidHistory 値を適用する) をプッシュするために、ローグドメインコントローラーを登録します。

詳細は、 https://www.tenable.com/indicators/ioa/I-DCShadow

DnsAdmins エクスプロイト

深刻度: High

名前

DnsAdmins エクスプロイト

説明

DNSAdmins エクスプロイトは、MicrosoftDNS サービスを実行しているドメインコントローラーの制御を DNSAdmins グループのメンバーが乗っ取ることを可能にする攻撃です。DNSAdmins グループのメンバーには、Active Directory DNS サービスの管理タスクを実行する権限があります。攻撃者はこの権限を悪用して、高い特権を持った文脈に悪意のあるコードを埋め込み、実行できます。

詳細は、 https://www.tenable.com/indicators/ioa/I-DnsAdmins

ローカル管理者の列挙

深刻度: Low

名前

ローカル管理者の列挙

説明

ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して、SAMR RPC インターフェースで列挙されました。

詳細は、 https://www.tenable.com/indicators/ioa/I-ReconAdminsEnum

DCSync

深刻度: Critical

名前

DCSync

説明

Mimikatz の DCSync コマンドにより、攻撃者はドメインコントローラーをシミュレートして、ターゲット上でコードを一切実行することなく、他のドメインコントローラーからパスワードハッシュと暗号化キーを取得できます。

詳細は、 https://www.tenable.com/indicators/ioa/I-DCSync

パスワードスプレー

深刻度: Medium

名前

パスワードスプレー

説明

パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。

詳細は、 https://www.tenable.com/indicators/ioa/I-PasswordSpraying

PetitPotam

深刻度: Critical

名前

PetitPotam

説明

PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。PetitPotam がドメインコントローラーを標的としている場合、攻撃者はドメインコントローラーの認証をリレーする別のネットワークマシンに対して認証を行うことができます。

詳細は、 https://www.tenable.com/indicators/ioa/I-PetitPotam

OS 認証情報のダンプ: LSASSメモリ

深刻度: Critical

名前

OS 認証情報のダンプ: LSASSメモリ

説明

ユーザーがログオンした後、ローカルセキュリティ機関サブシステムサービス (LSASS) のプロセスメモリに保存されている認証情報マテリアルに攻撃者がアクセスしようとすることがあります。

詳細は、 https://www.tenable.com/indicators/ioa/I-ProcessInjectionLsass

DPAPI ドメインバックアップキー抽出

深刻度: Critical

名前

DPAPI ドメインバックアップキー抽出

説明

DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSARPC コールを使ってドメインコントローラーからこれらのキーを抽出しようとする、さまざまな攻撃ツールが存在します。Microsoft はこれらのキーをローテーションさせたり、変更したりするためのサポートされたメソッドがないことを認識しています。そこで、ドメインの DPAPI バックアップキーが侵害された場合は、新しいドメイン全体を一から作成することを推奨していますが、これにはコストと時間がかかります。

詳細は、 https://www.tenable.com/indicators/ioa/I-AdDpapiKey

パスワード推測

深刻度: Medium

名前

パスワード推測

説明

総当たり攻撃やパスワード類推攻撃では、正しいパスワードが見つかるまで、考えられるすべてのパスワードとパスフレーズを送信してチェックします。

詳細は、 https://www.tenable.com/indicators/ioa/I-BruteForce

Kerberoasting

深刻度: Medium

名前

Kerberoasting

説明

Kerberoasting は、Active Directory サービスアカウントの認証情報を標的にしてオフラインのパスワードクラッキングを行う攻撃手法の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの認証情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。このKerberoasting 攻撃インジケーターは、Honey アカウントにログイン試行があった場合や、このアカウントにチケットのリクエストが送られた場合にアラートを送信できるよう、Tenable Identity Exposure の Honey アカウントでアラート機能を有効にすることを必要とします。

詳細は、 https://www.tenable.com/indicators/ioa/I-Kerberoasting

NTDS 抽出

深刻度: Critical

名前

NTDS 抽出

説明

NTDS 抽出とは、攻撃者が NTDS.dit データベースを取得するために使用する手法のことです。このファイルには、パスワードハッシュや Kerberos キーなどの Active Directory シークレットが格納されます。一度アクセスできれば、攻撃者はこのファイルのコピーをオフラインで解析し、Active Directory の機密性の高いコンテンツを取得するための DCSync 攻撃に代わる手段が使用できるようになります。

詳細は、 https://www.tenable.com/indicators/ioa/I-NtdsExtraction

SAMAccountName なりすまし

深刻度: Critical

名前

SAMAccountName なりすまし

説明

重大度の高い CVE-2021-42287 は、標準アカウントからのドメインの権限の昇格につながる可能性があります。この欠陥は、存在しない sAMAccountName 属性を持つオブジェクトを対象とするリクエストの不適切な処理によって生じます。ドル記号 ($) が見つからない場合、ドメインコントローラーは sAMAccountName 値の末尾にドル記号 ($) を自動的に追加します。これによって、標的のコンピューターアカウントのなりすましが生じる可能性があります。

詳細は、 https://www.tenable.com/indicators/ioa/I-SamNameImpersonation

認証されていない Kerberoasting

深刻度: Medium

名前

認証されていない Kerberoasting

説明

Kerberoasting は、Active Directory サービスアカウントの認証情報を標的にしてオフラインのパスワードクラッキングを行う攻撃手法の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの認証情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。従来の Kerberoasting 手法は、Kerberoasting IOA によって対応されています。インジケーターの名前でも言及されているように、Kerberoasting 攻撃には、多くの検出をかいくぐることができるステルス性のアプローチを取る手法もあります。高度な攻撃者は、大部分のヒューリスティック検知に見落とされることを期待して、この手法を好む場合があります。

詳細は、 https://www.tenable.com/indicators/ioa/I-UnauthKerberoasting

Zerologon エクスプロイト

深刻度: Critical

名前

Zerologon エクスプロイト

説明

Zerologon と呼ばれる脆弱性は、Microsoft から CVSS / 10.0 スコアを受けた Windows Server の重大な脆弱性 (CVE-2020-1472) と関連しています。それは、攻撃者が Netlogon リモートプロトコル (MS-NRPC) を使用して、ドメインコントローラーへの脆弱な Netlogon セキュアチャネル接続を確立する場合に存在する権限の昇格で構成されています。この脆弱性により、攻撃者がドメインを侵害し、ドメイン管理者権限を取得する可能性があります。

詳細は、 https://www.tenable.com/indicators/ioa/I-Zerologon