Техники: T1556 , T1556.001 , T1556.002 , T1556.003 , T1556.004 , T1556.005 , T1556.006 , T1556.007 , T1556.008 , T1556.009
Злоумышленники могут внести изменения в процесс аутентификации на контроллере домена, чтобы обойти типичные механизмы аутентификации и получить доступ к учетным записям.
Вредоносное ПО может использоваться для введения ложных учетных данных в процесс аутентификации на контроллере домена с целью создания черного хода, используемого для доступа к учетной записи и/или учетным данным любого пользователя (например, Skeleton Key). Skeleton Key работает через патч для процесса аутентификации контроллера домена предприятия (LSASS) с учетными данными, которые злоумышленники могут использовать для обхода стандартной системы аутентификации. После установки патча Злоумышленник может использовать введенный пароль для успешной аутентификации под любой учетной записью пользователя домена (пока скелетный ключ не будет удален из памяти при перезагрузке контроллера домена).Аутентифицированный доступ может обеспечить беспрепятственный доступ к узлам и/или ресурсам в средах с однофакторной аутентификацией.(Цитата: Dell Skeleton)
https://attack.mitre.org/techniques/T1556/001
Визуализация смежных техник для T1556.001
| № | Техника |
|---|
