T1069

کشف گروه‌های مجوز

Permission Groups Discovery

توضیحات

مهاجمان گروه‌های مجوز محلی و دامنه را برای شناسایی کاربران با دسترسی بالا و مسیرهای ارتقاء سطح دسترسی بررسی می‌کنند.

زیرتکنیک‌ها (3)

شناسهنام

مهاجمان گروه‌های محلی سیستم را برای شناسایی کاربران با دسترسی بالا enumerate می‌کنند.

مهاجمان گروه‌های دامنه Active Directory را برای شناسایی کاربران با دسترسی بالا و مسیرهای ارتقاء سطح دسترسی enumerate می‌کنند.

مهاجمان گروه‌های ابری مانند Azure AD groups و AWS IAM groups را enumerate می‌کنند.

روش‌های شناسایی

نظارت بر اجرای دستوراتی مانند net group، net localgroup و Get-ADGroup. بررسی query های LDAP.

روش‌های مقابله

نظارت بر فعالیت‌های enumeration گروه. محدود کردن دسترسی به اطلاعات گروه.