凭据访问
凭据访问 是什么?
凭据访问MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
凭据访问(MITRE ATT&CK 战术 TA0006)汇集了攻击者用来获取可复用凭据并以合法用户身份认证的技术。常见手段包括:用 Mimikatz 等工具转储 LSASS 内存;从域控提取 NTDS.dit;读取 Windows 注册表 SAM/SECURITY 配置单元;收集浏览器中保存的密码;Kerberoasting、AS-REP Roasting;通过 Responder 抓取 NTLM 哈希;从磁盘读取云厂商令牌;钓鱼 MFA 验证码;滥用 OAuth 同意流程。被盗凭据可在不触发基于恶意软件的检测的情况下,支持横向移动、持久化和提权。防御手段包括 Credential Guard、LSA 保护、强 MFA、分层管理员模型、密码保管箱、异常登录检测,以及一旦怀疑被盗即立即吊销。
● 示例
- 01
运行 Mimikatz 从 Windows 服务器的 LSASS 进程中提取明文凭据。
- 02
通过 Kerberoasting 攻击获得服务账户的 TGS,然后离线破解。
● 常见问题
凭据访问 是什么?
MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。 它属于网络安全的 防御与运营 分类。
凭据访问 是什么意思?
MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
凭据访问 是如何工作的?
凭据访问(MITRE ATT&CK 战术 TA0006)汇集了攻击者用来获取可复用凭据并以合法用户身份认证的技术。常见手段包括:用 Mimikatz 等工具转储 LSASS 内存;从域控提取 NTDS.dit;读取 Windows 注册表 SAM/SECURITY 配置单元;收集浏览器中保存的密码;Kerberoasting、AS-REP Roasting;通过 Responder 抓取 NTLM 哈希;从磁盘读取云厂商令牌;钓鱼 MFA 验证码;滥用 OAuth 同意流程。被盗凭据可在不触发基于恶意软件的检测的情况下,支持横向移动、持久化和提权。防御手段包括 Credential Guard、LSA 保护、强 MFA、分层管理员模型、密码保管箱、异常登录检测,以及一旦怀疑被盗即立即吊销。
如何防御 凭据访问?
针对 凭据访问 的防御通常结合技术控制与运营实践,详见上方完整定义。
凭据访问 还有哪些其他名称?
常见的别称包括: 凭据窃取, TA0006。
● 相关术语
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
- malware№ 231
凭据窃取程序
专门用于从受感染系统或其内存中提取密码、哈希和认证令牌的恶意软件。
- defense-ops№ 606
横向移动
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- identity-access№ 076
身份认证
在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。
● 参见
- № 790哈希传递攻击
- № 583Kerberoasting