有效账户

对手可能会获取和滥用现有账户的凭据，作为获得初始访问、持久性、权限提升或规避防御的一种手段。被破坏的凭据可能用于绕过系统内各种资源上的访问控制，甚至可能用于对远程系统和外部可用服务（如 VPN、Outlook Web Access、网络设备和远程桌面）的持久访问。(引用: volexity_0day_sophos_FW) 被破坏的凭据还可能授予对手对特定系统的更高权限或对网络中受限区域的访问权限。对手可能选择不使用恶意软件或工具，而是利用这些凭据提供的合法访问权限，使其存在更难被检测到。 在某些情况下，对手可能会滥用不活跃的账户：例如，那些属于不再是组织成员的个人的账户。使用这些账户可能使对手能够规避检测，因为原账户用户不会在场，无法识别其账户上发生的任何异常活动。(引用: CISA MFA PrintNightmare) 由于本地、域和云账户在系统网络中的权限重叠，对手可能能够跨账户和系统进行横向移动，以达到高水平的访问（即域或企业管理员），从而绕过企业内部设置的访问控制。(引用: TechNet Credential Theft)