استفاده از مواد احراز هویت جایگزین
Use Alternate Authentication Materialتوضیحات
مهاجمان از مواد احراز هویت جایگزین مانند hash رمز عبور، Kerberos ticket، application access token و web session cookie برای حرکت جانبی و دور زدن کنترلهای دسترسی استفاده میکنند.
زیرتکنیکها (2)
مهاجمان از hash رمز عبور NTLM برای احراز هویت بدون دانستن رمز عبور واقعی استفاده میکنند. با استفاده از ابزارهایی مانند Mimikatz و Impacket، مهاجمان میتوانند hashهای سرقت شده را برای دسترسی به سیستمهای دیگر استفاده کنند.
مهاجمان از Kerberos ticketهای سرقت شده برای احراز هویت استفاده میکنند. با استفاده از Golden Ticket یا Silver Ticket، مهاجمان میتوانند ticketهای Kerberos جعلی ایجاد کنند که به آنها دسترسی گستردهای میدهد.
روشهای شناسایی
نظارت بر استفاده از Pass-the-Hash و Pass-the-Ticket. شناسایی استفاده غیرعادی از Kerberos ticket. بررسی session cookieهای مشکوک. تحلیل لاگهای احراز هویت.
روشهای مقابله
استفاده از Windows Defender Credential Guard. پیادهسازی MFA. نظارت بر احراز هویت. استفاده از Protected Users group. بهروزرسانی ویندوز.