検出

DCSync

critical

Language:

説明

Mimikatz の DCSync コマンドにより、攻撃者はドメインコントローラーをシミュレートして、ターゲット上でコードを一切実行することなく、他のドメインコントローラーからパスワードハッシュと暗号化キーを取得できます。

参考資料

ADsecurity.org - Mimikatz DCSync Usage, Exploitation and Detection

harmj0y.net - Mimikatz and DCSync and ExtraSids

Microsoft - MS-DRSR explained

MITRE ATT&CK description

インジケーターの詳細

名前: DCSync

コード名: I-DCSync

深刻度: Critical

MITRE ATT&CK 情報:
ID: T1003.006
サブテクニック: T1003
戦術: TA0006