CAPEC - CAPEC - 561: Windows管理员和偷来的凭证(版本3.9)


常见的攻击模式枚举和分类社区资源识别和理解的攻击

家>CAPEC列表> capec - 561: Windows管理员和偷来的凭证(版本3.9)

capec - 561: Windows管理员和偷来的凭证

攻击模式ID: 561

抽象:详细的

视图定制的信息:

描述

敌人的猜测或获得合法Windows管理员(即抢断或者购买)凭据(如用户id /密码)来访问Windows管理股票在本地机器上或在Windows域。

扩展描述

Windows系统在Windows NT家庭包含隐藏的网络共享,只有系统管理员可以访问。这些股票允许管理员远程访问网络连接系统上的所有磁盘卷和进一步允许复制的文件,编写和执行,以及其他行政行为。网络共享例子包括:加元,管理和IPC美元。如果敌人能够获得合法的Windows凭据,隐藏的股票可以远程访问,通过服务器消息块(SMB)或净效用,传输文件和执行代码。敌人也可能利用NTLM散列与某些访问管理员在系统配置和补丁的水平。

的关系

此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。

自然	类型	ID	的名字
ChildOf	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	653年	使用已知的操作系统凭证
光束	详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。	16	基于字典的密码攻击
光束	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	49	密码蛮干
光束	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	50	密码恢复剥削
光束	详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。	55	彩虹表密码破解
光束	详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。	70年	常见的或默认的用户名和密码
光束	详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。	565年	密码喷涂
光束	详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。	568年	捕捉凭证通过键盘记录器
光束	详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。	643年	识别系统上共享文件/目录
CanPrecede	元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。	151年	身份欺骗
CanPrecede	元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。	165年	文件处理
CanPrecede	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	545年	把数据从系统资源
CanPrecede	元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。	549年	当地执行的代码

此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。

视图名称	顶级类别
域的攻击	软件
机制的攻击	颠覆的访问控制

执行流程

探索

获得知道Windows管理员凭证:敌人必须获得已知Windows管理员凭证以访问管理网络共享。

技术
敌人购买了Windows管理员凭证从黑暗的网络。
敌人利用键盘记录工具或钓鱼攻击窃取管理员提供凭证。
敌人进行嗅探攻击窃取Windows管理员凭证传输。
敌人获得访问Windows域系统/文件和漏出管理员的密码散列。
敌人检查上方配置和属性文件发现硬编码Windows管理员证书。

实验

尝试域身份验证:尝试每个Windows管理员证书对隐藏的网络共享,直到目标授予访问权限。

技术
手动或自动输入每个管理员证书通过目标的接口。

利用

恶意软件执行:敌人可以远程执行恶意软件在管理网络股票感染域内的其他系统。
数据漏出:敌人可以远程获取敏感数据包含在管理网络共享。

先决条件

系统/应用程序连接到Windows域。

目标管理共享允许远程使用本地管理凭据登录到域系统。

对手拥有一组已知的Windows管理员在目标域上存在的凭证。

技能要求

(等级:低)

一旦敌人获得一个已知的Windows凭据,利用它是微不足道的。

所需资源

一组已知的Windows管理员凭证为目标域。

指标

数据被转移和/或删除从行政网络共享。

可疑或恶意软件在执行行政网络共享。

可疑或恶意软件下载/安装在系统内的域。

后果

这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
保密访问控制身份验证	获得特权
保密授权	读取数据
完整性	修改数据

缓解措施

不跨系统重用本地管理员帐户凭据。

否认远程使用本地管理凭据登录到域系统。

不允许本地管理员账户在多个系统。

例子,实例

APT32有杠杆Windows的内置的净效用使用Windows管理股票复制并执行远程恶意软件。(ref - 579]

2017年5月,APT15横向移动在一个Windows域通过行政股复制文件与主机系统。这进一步允许远程执行的恶意软件。(ref - 578]


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页

常见的攻击模式枚举和分类

capec - 561: Windows管理员和偷来的凭证