密码猜测

对手在系统或环境中没有合法凭据的先验知识的情况下，可能会猜测密码以尝试访问帐户。在不知道帐户密码的情况下，对手可能会选择使用重复或迭代机制系统地猜测密码。对手可能会在操作期间使用常见密码列表猜测登录凭据，而无需事先了解系统或环境密码。密码猜测可能会或可能不会考虑目标的密码复杂性策略或使用可能在多次失败尝试后锁定帐户的策略。 猜测密码可能是一种冒险的选择，因为它可能会导致大量身份验证失败和帐户锁定，具体取决于组织的登录失败策略。(引用: Cylance Cleaver) 通常，在猜测密码时会使用常用端口上的管理服务。常见的目标服务包括： * SSH (22/TCP) * Telnet (23/TCP) * FTP (21/TCP) * NetBIOS / SMB / Samba (139/TCP & 445/TCP) * LDAP (389/TCP) * Kerberos (88/TCP) * RDP / 终端服务 (3389/TCP) * HTTP/HTTP 管理服务 (80/TCP & 443/TCP) * MSSQL (1433/TCP) * Oracle (1521/TCP) * MySQL (3306/TCP) * VNC (5900/TCP) * SNMP (161/UDP 和 162/TCP/UDP) 除了管理服务之外，对手还可能“针对利用联合身份验证协议的单点登录 (SSO) 和基于云的应用程序”，以及外部电子邮件应用程序，例如 Office 365。(引用: US-CERT TA18-068A 2018)。此外，对手可能会滥用网络设备接口（例如 wlanAPI）通过无线身份验证协议对可访问的 wifi 路由器进行暴力破解。(引用: Trend Micro Emotet 2020) 在默认环境中，LDAP 和 Kerberos 连接尝试不太可能触发事件，而 SMB 会创建 Windows“登录失败”事件 ID 4625。