Entry № 255
凭据访问
凭据访问 是什么?
凭据访问MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
凭据访问(MITRE ATT&CK 战术 TA0006)汇集了攻击者用来获取可复用凭据并以合法用户身份认证的技术。常见手段包括:用 Mimikatz 等工具转储 LSASS 内存;从域控提取 NTDS.dit;读取 Windows 注册表 SAM/SECURITY 配置单元;收集浏览器中保存的密码;Kerberoasting、AS-REP Roasting;通过 Responder 抓取 NTLM 哈希;从磁盘读取云厂商令牌;钓鱼 MFA 验证码;滥用 OAuth 同意流程。被盗凭据可在不触发基于恶意软件的检测的情况下,支持横向移动、持久化和提权。防御手段包括 Credential Guard、LSA 保护、强 MFA、分层管理员模型、密码保管箱、异常登录检测,以及一旦怀疑被盗即立即吊销。
● 示例
- 01
运行 Mimikatz 从 Windows 服务器的 LSASS 进程中提取明文凭据。
- 02
通过 Kerberoasting 攻击获得服务账户的 TGS,然后离线破解。
● 常见问题
凭据访问 是什么?
MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。 它属于网络安全的 防御与运营 分类。
凭据访问 是什么意思?
MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
如何防御 凭据访问?
针对 凭据访问 的防御通常结合技术控制与运营实践,详见上方完整定义。
凭据访问 还有哪些其他名称?
常见的别称包括: 凭据窃取, TA0006。