密码喷射

对手可能会使用单个或少量常用密码对许多不同帐户进行尝试，以获取有效的帐户凭据。密码喷射使用一个密码（例如 'Password01'）或少量常用密码，这些密码可能符合域的复杂性策略。使用该密码对网络上的许多不同帐户进行登录尝试，以避免在使用许多密码对单个帐户进行暴力破解时通常会发生的帐户锁定。(引用: BlackHillsInfosec Password Spraying) 通常，在常用端口上使用管理服务时会进行密码喷射。常见的目标服务包括以下内容： * SSH (22/TCP) * Telnet (23/TCP) * FTP (21/TCP) * NetBIOS / SMB / Samba (139/TCP & 445/TCP) * LDAP (389/TCP) * Kerberos (88/TCP) * RDP / 终端服务 (3389/TCP) * HTTP/HTTP 管理服务 (80/TCP & 443/TCP) * MSSQL (1433/TCP) * Oracle (1521/TCP) * MySQL (3306/TCP) * VNC (5900/TCP) 除了管理服务外，对手还可能“针对使用联合身份验证协议的单点登录 (SSO) 和基于云的应用程序”，以及外部电子邮件应用程序，例如 Office 365。(引用: US-CERT TA18-068A 2018) 在默认环境中，LDAP 和 Kerberos 连接尝试比 SMB 更不容易触发事件，后者会创建 Windows “登录失败”事件 ID 4625。