検出

KRBTGT アカウントで前回行ったパスワード変更

high

Language:

説明

各 Active Directory ドメインには、KRBTGT という重要なアカウントがあります。このアカウントは、ドメイン内の他のすべてのシークレットのマスターシークレットを守っているため、「ゴールデンチケット」などの攻撃を回避するためにあらゆる手段を尽くして保護する必要があります。

ソリューション

KRBTGTアカウントのパスワード変更は特殊な操作ですが、Microsoftはこれに完全対応しています。

参考資料

KRBTGT Account Password Reset Scripts now available for customers

Kerberos & KRBTGT: Active Directory's Domain Kerberos Service Account

Reset the krbtgt account password/keys

Windows Hello Cloud Trust

Obtaining Domain Admin from Azure AD by abusing Cloud Kerberos Trust

インジケーターの詳細

名前: KRBTGT アカウントで前回行ったパスワード変更

コード名: C-KRBTGT-PASSWORD

深刻度: High

タイプ: Active Directory Indicator of Exposure

Family: 特権アカウント

MITRE ATT&CK 情報:

攻撃者の既知のツール

Gentil Kiwi: mimikatz