説明

NTDS 抽出とは、攻撃者が NTDS.dit データベースを取得するために使用する手法のことです。このファイルには、パスワードハッシュや Kerberos キーなどの Active Directory シークレットが格納されます。一度アクセスできれば、攻撃者はこのファイルのコピーをオフラインで解析し、Active Directory の機密性の高いコンテンツを取得するための DCSync 攻撃に代わる手段が使用できるようになります。

参考資料

MITRE ATT&CK に関する説明

攻撃者が Active Directory データベースの認証情報をダンプする方法

Ntds.dit ファイルからのパスワードハッシュの抽出

インジケーターの詳細

名前: NTDS 抽出

コード名: I-NtdsExtraction

深刻度: Critical

MITRE ATT&CK 情報:
ID: T1003.003
サブテクニック: T1003
戦術: TA0006