Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1003 , T1003.001 , T1003.002 , T1003.003 , T1003.004 , T1003.005 , T1003.006 , T1003.007 , T1003.008
Злоумышленники могут попытаться получить доступ или создать копию базы данных домена Active Directory с целью кражи учетных данных, а также получить другую информацию о членах домена, такую как устройства, пользователи и права доступа.По умолчанию файл NTDS (NTDS.dit) находится в %SystemRoot%\NTDS\Ntds.dit контроллера домена.(Цитата: Wikipedia Active Directory)
Помимо поиска файлов NTDS на активных контроллерах домена, злоумышленники могут искать резервные копии, содержащие ту же или подобную информацию.(Цит. по: Metcalf 2015)
Для перечисления NTDS-файла и содержимого всех хэшей Active Directory можно использовать следующие инструменты и техники.
* Теневое копирование тома
* secretsdump.py
* Использование встроенного инструмента Windows, ntdsutil.exe
* Invoke-NinjaCopy
https://attack.mitre.org/techniques/T1003/003
Визуализация смежных техник для T1003.003
| № | Техника |
|---|
