Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1003 , T1003.001 , T1003.002 , T1003.003 , T1003.004 , T1003.005 , T1003.006 , T1003.007 , T1003.008
Злоумышленники могут попытаться получить доступ к учетным данным и другой конфиденциальной информации, используя интерфейс прикладного программирования (API) контроллера домена Windows (Цитирование: Microsoft DRSR Dec 2017) (Цитирование: Microsoft GetNCCChanges) (Цитирование: Samba DRSUAPI) (Цитирование: Wine API samlib.dll) для имитации процесса репликации с удаленного контроллера домена с помощью техники, называемой DCSync.
Члены групп Administrators, Domain Admins и Enterprise Admin или учетные записи компьютеров на контроллере домена могут запускать DCSync для извлечения данных о паролях (Цитата: ADSecurity Mimikatz DCSync) из Active Directory, которые могут включать текущие и исторические хэши потенциально полезных учетных записей, таких как KRBTGT и Administrators. Эти хэши могут быть использованы для создания Golden Ticket для использования в Pass the Ticket (Цит. по: Harmj0y Mimikatz и DCSync) или для изменения пароля учетной записи, как указано в Account Manipulation.(Цитата: InsiderThreat ChangeNTLM July 2017)
Функциональность DCSync была включена в модуль "lsadump" в Mimikatz.(Цитата: GitHub Mimikatz lsadump Module) Lsadump также включает NetSync, который выполняет DCSync по устаревшему протоколу репликации.(Цитата: Microsoft NRPC Dec 2017)
https://attack.mitre.org/techniques/T1003/006
Визуализация смежных техник для T1003.006
| № | Техника |
|---|
