T1558.003
Kerberoasting
Kerberoastingتوضیحات
مهاجمان بلیتهای سرویس Kerberos را درخواست میکنند و سپس آفلاین hash های رمز عبور حسابهای سرویس را crack میکنند.
روشهای شناسایی
نظارت بر درخواستهای غیرعادی TGS. بررسی رویدادهای 4769 با RC4 encryption.
روشهای مقابله
استفاده از رمزهای عبور قوی برای حسابهای سرویس. استفاده از Managed Service Accounts.
تکنیک اصلی
T1558Steal or Forge Kerberos Tickets
سرقت یا جعل بلیت Kerberos
مهاجمان بلیتهای Kerberos را سرقت یا جعل میکنند تا بدون نیاز به رمز عبور به منابع شبکه دسترسی پیدا کنند.
سایر زیرتکنیکها (3)