Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1558 , T1558.001 , T1558.002 , T1558.003 , T1558.004 , T1558.005
Злоумышленники могут попытаться обойти аутентификацию Kerberos, украв или подделав билеты Kerberos Pass the Ticket. Kerberos - это протокол аутентификации, широко используемый в современных доменных средах Windows. В средах Kerberos есть три основных участника: клиент, служба и центр распределения ключей (Key Distribution Center, KDC).(Цитата: ADSecurity Kerberos Ring Decoder) Клиенты запрашивают доступ к службе и через обмен билетами Kerberos, исходящими от KDC, получают доступ после успешной аутентификации. KDC отвечает как за аутентификацию, так и за выдачу билетов. Злоумышленники могут попытаться обойти Kerberos, украв билеты или подделав их для получения несанкционированного доступа.
В Windows встроенная утилита klist может использоваться для составления списка и анализа кэшированных билетов Kerberos.(Цитата: Microsoft Klist)
https://attack.mitre.org/techniques/T1558
Визуализация смежных техник для T1558
| № | Техника |
|---|
