احراز هویت Domain Controller
Domain Controller Authenticationتوضیحات
مهاجمان DLLهای مخرب را در Domain Controllerها نصب میکنند تا فرآیند احراز هویت را دستکاری کنند. با تغییر Authentication Package، مهاجمان میتوانند اعتبارنامهها را capture کنند یا با هر رمز عبوری احراز هویت کنند. این تکنیک به سطح دسترسی Domain Admin نیاز دارد.
روشهای شناسایی
نظارت بر تغییرات در Authentication Packageهای DC. بررسی DLLهای بارگذاری شده در LSASS. شناسایی تغییرات رجیستری مرتبط با احراز هویت. تحلیل لاگهای Domain Controller.
روشهای مقابله
نظارت بر Domain Controllerها. محدود کردن دسترسی به DC. استفاده از Windows Defender Credential Guard. بررسی منظم Authentication Packageها. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
تغییر فرآیند احراز هویت
مهاجمان مکانیزمهای احراز هویت را تغییر میدهند تا به اعتبارنامهها دسترسی داشته باشند یا احراز هویت را دور بزنند. این تکنیک میتواند برای ایجاد backdoor در فرآیند احراز هویت، capture کردن اعتبارنامهها یا دور زدن MFA استفاده شود.