T1003.005
اطلاعات اعتباری دامنه کش شده
Cached Domain Credentialsتوضیحات
مهاجمان اطلاعات اعتباری دامنه کش شده را از رجیستری استخراج میکنند که برای ورود آفلاین استفاده میشوند.
روشهای شناسایی
نظارت بر دسترسی به کلیدهای رجیستری مرتبط با cached credentials.
روشهای مقابله
کاهش تعداد cached credentials. استفاده از Credential Guard.
تکنیک اصلی
T1003OS Credential Dumping
استخراج اطلاعات اعتباری سیستمعامل
مهاجمان اطلاعات اعتباری را از حافظه سیستمعامل، فایلها یا رجیستری استخراج میکنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.