凭证填充

对手可能会使用从不相关账户的泄露转储中获得的凭证，通过凭证重叠来访问目标账户。偶尔，当网站或服务被破坏并访问用户账户凭证时，大量用户名和密码对会在线泄露。对于试图利用用户在个人和业务账户中使用相同密码倾向的对手来说，这些信息可能是有用的。 凭证填充是一种风险较高的选项，因为它可能导致大量身份验证失败和账户锁定，具体取决于组织的登录失败策略。 通常，管理服务通过常用端口在填充凭证时使用。常见的目标服务包括以下内容： * SSH (22/TCP) * Telnet (23/TCP) * FTP (21/TCP) * NetBIOS / SMB / Samba (139/TCP & 445/TCP) * LDAP (389/TCP) * Kerberos (88/TCP) * RDP / 终端服务 (3389/TCP) * HTTP/HTTP 管理服务 (80/TCP & 443/TCP) * MSSQL (1433/TCP) * Oracle (1521/TCP) * MySQL (3306/TCP) * VNC (5900/TCP) 除了管理服务外，对手还可能“针对使用联合身份验证协议的单点登录 (SSO) 和基于云的应用程序”，以及外部电子邮件应用程序，例如 Office 365。(引用: US-CERT TA18-068A 2018)