T1003.003
NTDS
NTDSتوضیحات
مهاجمان فایل NTDS.dit را که پایگاه داده Active Directory است استخراج میکنند تا hash های رمز عبور همه کاربران دامنه را به دست آورند.
روشهای شناسایی
نظارت بر دسترسی به فایل NTDS.dit. بررسی استفاده از ntdsutil و VSS.
روشهای مقابله
محدود کردن دسترسی به Domain Controller. نظارت بر فعالیتهای VSS.
تکنیک اصلی
T1003OS Credential Dumping
استخراج اطلاعات اعتباری سیستمعامل
مهاجمان اطلاعات اعتباری را از حافظه سیستمعامل، فایلها یا رجیستری استخراج میکنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.