حسابهای دامنه
Domain Accountsتوضیحات
مهاجمان از اعتبارنامههای حسابهای دامنه Active Directory برای دسترسی به سیستمها و منابع شبکه استفاده میکنند. حسابهای دامنه اغلب دسترسی گستردهای به منابع شبکه دارند و استفاده از آنها شناسایی را دشوار میکند. مهاجمان ممکن است از Pass-the-Hash، Pass-the-Ticket یا سایر تکنیکها برای استفاده از اعتبارنامههای دامنه بدون دانستن رمزعبور استفاده کنند.
روشهای شناسایی
پایش ورودهای غیرعادی با حسابهای دامنه. شناسایی استفاده از تکنیکهای Pass-the-Hash یا Pass-the-Ticket. نظارت بر فعالیت غیرعادی در Active Directory. استفاده از UEBA.
روشهای مقابله
استفاده از MFA برای حسابهای دامنه. پیادهسازی Credential Guard. اعمال اصل حداقل دسترسی. پایش مستمر Active Directory. استفاده از Protected Users security group.
تکنیک اصلی
حسابهای کاربری معتبر
مهاجمان از اعتبارنامههای معتبر برای دسترسی به سیستمها استفاده میکنند. این اعتبارنامهها ممکن است از طریق فیشینگ، credential stuffing، brute force، خرید از dark web یا سایر روشها به دست آمده باشند. استفاده از حسابهای معتبر شناسایی را بسیار دشوار میکند زیرا فعالیت مهاجم شبیه فعالیت قانونی به نظر میرسد.
سایر زیرتکنیکها (3)