T1187
احراز هویت اجباری
Forced Authenticationتوضیحات
مهاجمان سیستمها را مجبور میکنند تا اطلاعات اعتباری را به یک سرور تحت کنترل مهاجم ارسال کنند، مانند حملات SMB relay.
روشهای شناسایی
نظارت بر ترافیک SMB به سرورهای خارجی. بررسی تلاشهای احراز هویت NTLM به مقاصد غیرمعمول.
روشهای مقابله
غیرفعال کردن NTLM. استفاده از SMB signing. فیلتر کردن ترافیک SMB به اینترنت.