跳转至

DCSync

攻击者可能通过滥用Windows域控制器的应用程序编程接口(API)(Citation: Microsoft DRSR Dec 2017) (Citation: Microsoft GetNCCChanges) (Citation: Samba DRSUAPI) (Citation: Wine API samlib.dll) 来模拟从远程域控制器复制过程,使用称为DCSync的技术。 管理员、域管理员和企业管理员组的成员或域控制器上的计算机账户能够运行DCSync以从Active Directory中提取密码数据(Citation: ADSecurity Mimikatz DCSync),这可能包括KRBTGT和管理员等潜在有用账户的当前和历史哈希。这些哈希随后可以用于创建黄金票证,用于传递票证(Citation: Harmj0y Mimikatz and DCSync) 或更改账户密码,如账户操纵中所述。(Citation: InsiderThreat ChangeNTLM July 2017) DCSync功能已包含在Mimikatz的“lsadump”模块中。(Citation: GitHub Mimikatz lsadump Module) Lsadump还包括NetSync,它通过旧版复制协议执行DCSync。(Citation: Microsoft NRPC Dec 2017)