T1003.006
DCSync
DCSyncتوضیحات
مهاجمان از پروتکل replication دامنه برای درخواست hash های رمز عبور از Domain Controller بدون نیاز به دسترسی مستقیم استفاده میکنند.
روشهای شناسایی
نظارت بر درخواستهای replication از حسابهای غیر DC. بررسی رویدادهای 4662.
روشهای مقابله
محدود کردن مجوزهای replication دامنه. نظارت بر فعالیتهای replication.
تکنیک اصلی
T1003OS Credential Dumping
استخراج اطلاعات اعتباری سیستمعامل
مهاجمان اطلاعات اعتباری را از حافظه سیستمعامل، فایلها یا رجیستری استخراج میکنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.