Indicators of Attack
| Name | Beschreibung | Schweregrad |
|---|---|---|
| Zerologon-Ausnutzung | Die Zerologon-Schwachstelle mit Branding ist mit einer kritischen Schwachstelle (CVE-2020-1472) in Windows Server verknüpft, die CVSS-Score von 10.0 von Microsoft erhalten hat. Sie umfasst eine Ausweitung der Rechte, die existiert, wenn ein Angreifer eine ungeschützte Netlogon-Secure Channel-Verbindung mit einem Domänencontroller etabliert, unter Verwendung des Netlogon-Remote-Protokolls (MS-NRPC). Diese Schwachstelle ermöglicht es Angreifern, eine Domäne zu kompromittieren und Rechte des Domänenadministrators zu erwerben. | critical |
| Nicht authentifiziertes Kerberoasting | Kerberoasting ist ein Angriffstyp, der auf Anmeldeinformationen von Active Directory-Dienstkonten abzielt, um Passwörter offline zu knacken. Bei diesem Angriff wird versucht, sich durch Anfordern von Diensttickets Zugriff auf Dienstkonten zu verschaffen und dann die Anmeldeinformationen des Dienstkontos offline zu knacken. Die klassische Kerberoasting-Methode wird vom IoA | medium |
| DnsAdmins-Ausnutzung | Als DNSAdmins-Ausnutzung bezeichnet man einen Angriff, der es Mitgliedern der DNSAdmins-Gruppe ermöglicht, die Kontrolle über einen Domänencontroller zu übernehmen, auf dem der MicrosoftDNS-Dienst ausgeführt wird. Ein Mitglied der DNSAdmins-Gruppe verfügt über Rechte zum Ausführen von administrativen Aufgaben für den Active DirectoryDNS-Dienst. Angreifer können diese Rechte missbrauchen, um schädlichen Code in einem Kontext auszuführen, der hohe Berechtigungen erfordert. | high |
| Extrahierung des DPAPI-Domänensicherungsschlüssels | DPAPI-Domänensicherungsschlüssel sind ein wichtiger Bestandteil bei der Wiederherstellung von DPAPI-Geheimnissen. Verschiedene Angriffs-Tools sind darauf ausgelegt, diese Schlüssel mithilfe von LSARPC-Aufrufen von Domänencontrollern zu extrahieren. | critical |
| Identitätswechsel von SAMAccountName | Die kritische Schwachstelle CVE-2021-42287 kann zu einer Rechteausweitung für die Domäne von einem Standardkonto führen. Dieser Fehler entsteht durch falsche Verarbeitung von Anfragen, die sich an ein Objekt mit einem nicht vorhandenen sAMAccountName-Attribut richten. Der Domänencontroller fügt dem sAMAccountName-Wert automatisch ein nachgestelltes Dollarzeichen ($) hinzu, wenn er dieses Zeichen nicht findet. Dies kann zu einem Identitätswechsel für ein Computerkonto führen, das Ziel des Angriffs ist. | high |
| NTDS-Extrahierung | NTDS-Exfiltration bezieht sich auf die Technik, die Angreifer zum Abrufen der NTDS.dit-Datenbank verwenden. In dieser Datei werden Active Directory-Geheimnisse wie Passwort-Hashes und Kerberos-Schlüssel gespeichert. Nachdem ein Angreifer sich Zugriff verschafft hat, analysiert er eine Kopie der Datei offline. Dies ist eine Alternative zu DCSync-Angriffen zum Abrufen von sensiblen Active Directory-Inhalten. | critical |
| Kerberoasting | Kerberoasting ist ein Angriffstyp, der auf Anmeldeinformationen von Active Directory-Dienstkonten abzielt, um Passwörter offline zu knacken. Bei diesem Angriff wird versucht, sich durch Anfordern von Diensttickets Zugriff auf Dienstkonten zu verschaffen und dann die Anmeldeinformationen des Dienstkontos offline zu knacken. Der Indicator of Attack Kerberoasting erfordert die Aktivierung der Honey-Konto-Funktion von Tenable.ad, um eine Warnung zu senden, wenn eine Person versucht, sich beim Honey-Konto anzumelden, oder wenn dieses Konto eine Ticketanfrage erhält. | medium |
| Massive Auskundschaftung von Computern | Eine enorme Anzahl Authentifizierungsanforderungen auf mehreren Computern mit NTLM- oder Kerberos-Protokollen, die von derselben Quelle stammen, kann auf einen Angriff hindeuten. | low |
| Auflistung lokaler Administratoren | Die Gruppe der lokalen Administratoren wurde mit der SAMR RPC-Schnittstelle bzw. sehr wahrscheinlich mit BloodHound/SharpHound aufgelistet. | low |
| PetitPotam | Das PetitPotam-Tool kann verwendet werden, um die Authentifizierung des Zielcomputers auf einem Remotesystem zu erzwingen bzw. um generell NTLM-Relay-Angriffe durchzuführen. Bei einem PetitPotam-Angriff auf einen Domänencontroller kann sich ein Angreifer bei einem anderen Computer im Netzwerk authentifizieren, indem er die Authentifizierung des Domänencontrollers weitergibt. | critical |
| Password Spraying | Password Spraying ist ein Angriff, bei dem versucht wird, mit einigen häufig verwendeten Passwörtern auf eine große Anzahl Konten (Benutzernamen) zuzugreifen. Diese Angriffsform wird auch als Low-and-Slow-Methode bezeichnet. | medium |
| Ermitteln von Passwörtern | Bei einem brute-force-Angriff zur Passwortermittlung werden so lange alle möglichen Passwörter und Passphrases übermittelt und überprüft, bis das bzw. die richtige gefunden wird. | medium |
| DCShadow | DCShadow ist ein weiterer kill chain-Angriff im Spätstadium, mit dem ein Angreifer mit privilegierten Anmeldeinformationen einen Rogue-Domänencontroller registrieren kann, um Änderungen mittels Domänenreplizierung per Push an eine Domäne zu übertragen. | critical |
| OS Credential Dumping: LSASS-Speicher | Nachdem sich ein Benutzer eingeloggt hat, können Angreifer versuchen, auf Anmeldeinformationen zuzugreifen, die im Prozessspeicher von Local Security Authority Subsystem Service (LSASS) gespeichert sind. | critical |
| Golden Ticket | Ein Golden Ticket-Angriff übernimmt die Kontrolle über ein Active DirectoryKey Distribution Service-Konto (KRBTGT) und verwendet dieses Konto, um gültige Kerberos Ticket Granting Tickets (TGTs) zu erstellen. | critical |
| DCSync | Der DCSync-Befehl in Mimikatz ermöglicht es einem Angreifer zu simulieren, ein Domänencontroller zu sein, und er kann Passwort-Hashes und Verschlüsselungsschlüssel von anderen Domänencontrollern abrufen, ohne auf dem Ziel Code auszuführen. | critical |