|
Sospetta iniezione SID-History |
1106 |
Alto |
Escalation dei privilegi |
|
Sospetto attacco overpass-the-hash (Kerberos) |
2002 |
Medio |
Movimento laterale |
|
Ricognizione dell'enumerazione dell'account |
2003 |
Medio |
Individuazione |
|
Sospetto attacco di forza bruta (LDAP) |
2004 |
Medio |
Accesso alle credenziali |
|
Sospetto attacco DCSync (replica dei servizi directory) |
2006 |
Alto |
Accesso alle credenziali, persistenza |
|
Ricognizione mapping di rete (DNS) |
2007 |
Medio |
Individuazione |
|
Sospetto attacco over-pass-the-hash (tipo di crittografia forzata) |
2008 |
Medio |
Movimento laterale |
|
Sospetto utilizzo di Golden Ticket (downgrade della crittografia) |
2009 |
Medio |
Persistenza, Escalation dei privilegi, Spostamento laterale |
|
Sospetto attacco skeleton key (downgrade della crittografia) |
2010 |
Medio |
Persistenza, movimento laterale |
|
Ricognizione di utenti e indirizzi IP (SMB) |
2012 |
Medio |
Individuazione |
|
Sospetto utilizzo di Golden Ticket (dati di autorizzazione contraffatti) |
2013 |
Alto |
Accesso alle credenziali |
|
Attività di autenticazione honeytoken |
2014 |
Medio |
Accesso alle credenziali, individuazione |
|
Sospetto furto di identità (pass-the-hash) |
2017 |
Fortemente |
Movimento laterale |
|
Sospetto furto di identità (pass-the-ticket) |
2018 |
Alto o Medio |
Movimento laterale |
|
Tentativo di esecuzione remota del codice |
2019 |
Medio |
Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, spostamento laterale |
|
Richiesta dannosa della chiave master dell'API Protezione dati |
2020 |
Alto |
Accesso alle credenziali |
|
Ricognizione dell'appartenenza a utenti e gruppi (SAMR) |
2021 |
Medio |
Individuazione |
|
Sospetto utilizzo di Golden Ticket (anomalia temporale) |
2022 |
Alto |
Persistenza, Escalation dei privilegi, Spostamento laterale |
|
Sospetto attacco di forza bruta (Kerberos, NTLM) |
2023 |
Medio |
Accesso alle credenziali |
|
Aggiunte sospette ai gruppi sensibili |
2024 |
Medio |
Persistenza, accesso alle credenziali, |
|
Connessione VPN sospetta |
2025 |
Medio |
Evasione della difesa, persistenza |
|
Creazione di un servizio sospetto |
2026 |
Medio |
Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, spostamento laterale |
|
Sospetto utilizzo di Golden Ticket (account inesistente) |
2027 |
Alto |
Persistenza, Escalation dei privilegi, Spostamento laterale |
|
Sospetto attacco DCShadow (promozione del controller di dominio) |
2028 |
Alto |
Evasione della difesa |
|
Sospetto attacco DCShadow (richiesta di replica del controller di dominio) |
2029 |
Alto |
Evasione della difesa |
|
Esfiltrazione dei dati su SMB |
2030 |
Alto |
Esfiltrazione, spostamento laterale, comando e controllo |
|
Comunicazione sospetta tramite DNS |
2031 |
Medio |
Sottrazione di dati |
|
Sospetto utilizzo di Golden Ticket (anomalia del ticket) |
2032 |
Alto |
Persistenza, Escalation dei privilegi, Spostamento laterale |
|
Sospetto attacco di forza bruta (SMB) |
2033 |
Medio |
Movimento laterale |
|
Sospetto uso del framework di hacking metasploit |
2034 |
Medio |
Movimento laterale |
|
Sospetto attacco ransomware WannaCry |
2035 |
Medio |
Movimento laterale |
|
Esecuzione remota del codice tramite DNS |
2036 |
Medio |
Spostamento laterale, escalation dei privilegi |
|
Sospetto attacco di inoltro NTLM |
2037 |
Medio o Basso se osservato usando il protocollo NTLM v2 firmato |
Spostamento laterale, escalation dei privilegi |
|
Ricognizione dell'entità di sicurezza (LDAP) |
2038 |
Alto (in caso di problemi di risoluzione o strumento specifico rilevato) e medio |
Accesso alle credenziali |
|
Sospetta manomissione dell'autenticazione NTLM |
2039 |
Medio |
Spostamento laterale, escalation dei privilegi |
|
Sospetto utilizzo di Golden Ticket (anomalia del ticket con RBCD) |
2040 |
Alto |
Persistenza |
|
Sospetto utilizzo del certificato Kerberos non autorizzato |
2047 |
Alto |
Movimento laterale |
|
Tentativo di delega Kerberos sospetto tramite il metodo BronzeBit (sfruttamento CVE-2020-17049) |
2048 |
Medio |
Accesso alle credenziali |
|
Ricognizione degli attributi di Active Directory (LDAP) |
2210 |
Medio |
Individuazione |
|
Sospetta manipolazione dei pacchetti SMB (sfruttamento CVE-2020-0796) |
2406 |
Fortemente |
Movimento laterale |
|
Sospetta esposizione del nome SPN Kerberos |
2410 |
Alto |
Accesso alle credenziali |
|
Sospetto tentativo di elevazione dei privilegi netlogon (sfruttamento CVE-2020-1472) |
2411 |
Alto |
Escalation dei privilegi |
|
Sospetto attacco di tostatura AS-REP |
2412 |
Alto |
Accesso alle credenziali |
|
Sospetto lettura del tasto AD FS DKM |
2413 |
Alto |
Accesso alle credenziali |
|
Exchange Server esecuzione remota del codice (CVE-2021-26855) |
2414 |
Fortemente |
Movimento laterale |
|
Sospetto tentativo di sfruttamento nel servizio Spooler di stampa windows |
2415 |
Alto o Medio |
Movimento laterale |
|
Connessione di rete sospetta tramite crittografia del protocollo remoto del file system |
2416 |
Alto o Medio |
Movimento laterale |
|
Sospetta richiesta di ticket Kerberos sospetta |
2418 |
Alto |
Accesso alle credenziali |
|
Modifica sospetta di un attributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287 exploitation) |
2419 |
Alto |
Accesso alle credenziali |
|
Modifica sospetta della relazione di trust del server AD FS |
2420 |
Medio |
Escalation dei privilegi |
|
Modifica sospetta di un attributo dNSHostName (CVE-2022-26923) |
2421 |
Alto |
Escalation dei privilegi |
|
Tentativo di delega Kerberos sospetto da parte di un computer appena creato |
2422 |
Alto |
Escalation dei privilegi |
|
Modifica sospetta dell'attributo delega vincolata basata su risorse da parte di un account computer |
2423 |
Alto |
Escalation dei privilegi |
|
Autenticazione anomala Active Directory Federation Services (AD FS) tramite un certificato sospetto |
2424 |
Alto |
Accesso alle credenziali |
|
Utilizzo sospetto del certificato tramite protocollo Kerberos (PKINIT) |
2425 |
Fortemente |
Movimento laterale |
|
Sospetto attacco DFSCoerce tramite distributed file system protocol |
2426 |
Alto |
Accesso alle credenziali |
|
Attributi utente honeytoken modificati |
2427 |
Fortemente |
Persistenza |
|
Appartenenza al gruppo Honeytoken modificata |
2428 |
Alto |
Persistenza |
|
Honeytoken è stato sottoposto a query tramite LDAP |
2429 |
Bassa |
Individuazione |
|
Modifica sospetta del dominio AdminSdHolder |
2430 |
Alto |
Persistenza |
|
Sospetto acquisizione dell'account tramite credenziali shadow |
2431 |
Alto |
Accesso alle credenziali |
|
Richiesta di certificato controller di dominio sospetto (ESC8) |
2432 |
Alto |
Escalation dei privilegi |
|
Eliminazione sospetta delle voci del database del certificato |
2433 |
Medio |
Evasione della difesa |
|
Disabilitazione sospetta dei filtri di controllo di Servizi certificati Active Directory |
2434 |
Medio |
Evasione della difesa |
|
Modifiche sospette alle autorizzazioni/impostazioni di sicurezza di Servizi certificati Active Directory |
2435 |
Medio |
Escalation dei privilegi |
|
Ricognizione dell'enumerazione account (LDAP) ( anteprima) |
2437 |
Medio |
Individuazione account, account di dominio |
|
Modifica della password in modalità ripristino servizi directory |
2438 |
Medio |
Persistenza, manipolazione dell'account |
|
Honeytoken è stato sottoposto a query tramite SAM-R |
2439 |
Bassa |
Individuazione |
|
manomissione Criteri di gruppo |
2440 |
Medio |
Evasione della difesa |