https://www.tenable.com/indicators/feeds?type=ioa 获取最新版 Indicators of Attack 更新 Sat, 18 Apr 2026 08:20:46 GMT https://validator.w3.org/feed/docs/rss2.html 指标 https://www.tenable.com/themes/custom/tenable/img/favicons/apple-touch-icon.png https://www.tenable.com/indicators/feeds?type=ioa 版权 2026 Tenable, Inc. 保留所有权利。 https://www.tenable.com/indicators/ioa/I-MassiveComputersRecon https://www.tenable.com/indicators/ioa/I-MassiveComputersRecon Low 严重性

名称

大规模计算机侦查

描述

在多台计算机上出现大量身份验证请求，这些请求使用 NTLM 或 Kerberos 协议并来自同一来源，这表明可能存在通过 BloodHound/SharpHound 发起的攻击。

了解详细信息 https://www.tenable.com/indicators/ioa/I-MassiveComputersRecon

]]> https://www.tenable.com/indicators/ioa/I-DcPasswordChange https://www.tenable.com/indicators/ioa/I-DcPasswordChange Critical 严重性

名称

可疑的 DC 密码更改

描述

被称作 Zerologon 的严重 CVE-2020-1472 是一种滥用 Netlogon 协议加密漏洞的攻击，可让攻击者在任何计算机上与域控制器建立 Netlogon 安全通道。通过此攻击，攻击者可以使用多种后渗透攻击技术实现特权提升，例如修改域控制器帐户密码​、强制身份验证、DCSync 攻击等。人们经常误以为 ZeroLogon 漏洞是使用实际的 Netlogon 伪造身份验证绕过的后渗透攻击活动（由 IoA“Zerologon 利用”解决）。此指标聚焦于可以结合 Netlogon 漏洞使用的后渗透攻击活动之一​ ：修改域控制器计算机帐户密码。

了解详细信息 https://www.tenable.com/indicators/ioa/I-DcPasswordChange

]]> https://www.tenable.com/indicators/ioa/I-GoldenTicket https://www.tenable.com/indicators/ioa/I-GoldenTicket Critical 严重性

名称

Golden Ticket

描述

在 Golden Ticket 攻击中，攻击者获得对 Active Directory 密钥分发服务帐户 (KRBTGT) 的控制权，并使用该帐户创建有效的 Kerberos 票据授予票据 (TGTs)。

了解详细信息 https://www.tenable.com/indicators/ioa/I-GoldenTicket

]]> https://www.tenable.com/indicators/ioa/I-DCShadow https://www.tenable.com/indicators/ioa/I-DCShadow Critical 严重性

名称

DCShadow

描述

DCShadow 是另一种后期 kill chain 攻击，导致具有特权凭据的攻击者可以注册恶意域控制器，以便通过域复制将任意更改推送到域（例如，应用已被禁止的 sidHistory 值）。

了解详细信息 https://www.tenable.com/indicators/ioa/I-DCShadow

]]> https://www.tenable.com/indicators/ioa/I-DnsAdmins https://www.tenable.com/indicators/ioa/I-DnsAdmins High 严重性

名称

DnsAdmins渗透攻击

描述

DNSAdmins 利用是一种攻击方式，DNSAdmins 组中的成员可以借此接管运行 MicrosoftDNS 服务的域控制器。DNSAdmins 组中的成员有权在 Active Directory DNS 服务上执行管理任务。攻击者会滥用这些权利，以在高特权环境中执行恶意代码。

了解详细信息 https://www.tenable.com/indicators/ioa/I-DnsAdmins

]]> https://www.tenable.com/indicators/ioa/I-ReconAdminsEnum https://www.tenable.com/indicators/ioa/I-ReconAdminsEnum Low 严重性

名称

本地管理员枚举

描述

本地 Administrators 组通过 SAMR RPC 接口枚举，可能是通过 BloodHound/SharpHound。

了解详细信息 https://www.tenable.com/indicators/ioa/I-ReconAdminsEnum

]]> https://www.tenable.com/indicators/ioa/I-DCSync https://www.tenable.com/indicators/ioa/I-DCSync Critical 严重性

名称

DCSync

描述

攻击者可利用 Mimikatz 中的 DCSync 命令冒充成域控制器，且无需在目标上执行任何代码，即可从其他域控制器检索密码哈希和加密密钥。

了解详细信息 https://www.tenable.com/indicators/ioa/I-DCSync

]]> https://www.tenable.com/indicators/ioa/I-PasswordSpraying https://www.tenable.com/indicators/ioa/I-PasswordSpraying Medium 严重性

名称

密码喷洒

描述

密码喷洒攻击是指使用一些常用密码尝试访问大量帐户（用户名），也称为低速缓慢攻击

了解详细信息 https://www.tenable.com/indicators/ioa/I-PasswordSpraying

]]> https://www.tenable.com/indicators/ioa/I-PetitPotam https://www.tenable.com/indicators/ioa/I-PetitPotam Critical 严重性

名称

PetitPotam

描述

PetitPotam 工具可用于对远程系统的目标计算机强制进行身份验证，通常目的在于执行 NTLM 中继攻击。如果 PetitPotam 将目标锁定为域控制器，攻击者可以向中继域控制器身份验证的另一台网络机器进行身份验证。

了解详细信息 https://www.tenable.com/indicators/ioa/I-PetitPotam

]]> https://www.tenable.com/indicators/ioa/I-ProcessInjectionLsass https://www.tenable.com/indicators/ioa/I-ProcessInjectionLsass Critical 严重性

名称

操作系统凭据转储：LSASS 内存

描述

用户登录后，攻击者可能会尝试访问存储在本地安全认证子系统服务 (LSASS) 进程内存中的凭据材料。

了解详细信息 https://www.tenable.com/indicators/ioa/I-ProcessInjectionLsass

]]> https://www.tenable.com/indicators/ioa/I-AdDpapiKey https://www.tenable.com/indicators/ioa/I-AdDpapiKey Critical 严重性

名称

DPAPI 域备份密钥提取

描述

DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。Microsoft 识别出没有受支持的方法可用来轮换或更改这些密钥。因此，若域的 DPAPI 备份密钥泄露，他们建议重新创建一个全新的域，但这样做耗时长久且代价高昂。

了解详细信息 https://www.tenable.com/indicators/ioa/I-AdDpapiKey

]]> https://www.tenable.com/indicators/ioa/I-BruteForce https://www.tenable.com/indicators/ioa/I-BruteForce Medium 严重性

名称

密码猜测

描述

暴力破解密码猜测攻击是指攻击者会提交并尝试所有可能，直至找到正确的密码和密码短语。

了解详细信息 https://www.tenable.com/indicators/ioa/I-BruteForce

]]> https://www.tenable.com/indicators/ioa/I-Kerberoasting https://www.tenable.com/indicators/ioa/I-Kerberoasting Medium 严重性

名称

Kerberoasting

描述

在 Kerberoasting 类型的攻击中，攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据，以便离线破解密码。此攻击旨在通过请求服务票据，然后离线破解该服务帐户的凭据，来获取服务帐户的访问权限。Kerberoasting 攻击指标需要激活 Tenable Identity Exposure 的 Honey Account（蜜罐帐户）功能，才能在有人尝试登录 Honey Account（蜜罐帐户）或此帐户收到票据请求时发出警报。

了解详细信息 https://www.tenable.com/indicators/ioa/I-Kerberoasting

]]> https://www.tenable.com/indicators/ioa/I-NtdsExtraction https://www.tenable.com/indicators/ioa/I-NtdsExtraction Critical 严重性

名称

NTDS 提取

描述

NTDS 提取是指攻击者用来检索 NTDS.dit 数据库的技术。此文件存储 Active Directory 密钥，如密码哈希和 Kerberos 密钥。攻击者在访问此文件后，便可离线解析此文件的副本，从而提供 DCSync 攻击的替代方案来检索 Active Directory 的敏感内容。

了解详细信息 https://www.tenable.com/indicators/ioa/I-NtdsExtraction

]]> https://www.tenable.com/indicators/ioa/I-SamNameImpersonation https://www.tenable.com/indicators/ioa/I-SamNameImpersonation Critical 严重性

名称

SAMAccountName 冒充

描述

关键的 CVE-2021-42287 会提升标准帐户在该域上的权限。该缺陷源自错误地处理针对具有不存在的 sAMAccountName 属性对象的请求。该域控制器会自动在 sAMAccountName 值后面添加一个美元 ($) 符号（如未找到），进而冒充目标计算机帐户。

了解详细信息 https://www.tenable.com/indicators/ioa/I-SamNameImpersonation

]]> https://www.tenable.com/indicators/ioa/I-UnauthKerberoasting https://www.tenable.com/indicators/ioa/I-UnauthKerberoasting Medium 严重性

名称

未经身份验证的 Kerberoasting

描述

在 Kerberoasting 类型的攻击中，攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据，以便离线破解密码。此攻击旨在通过请求服务票据，然后离线破解该服务帐户的凭据，来获取服务帐户的访问权限。Kerberoasting IoA 已涵盖经典的 Kerberoasting 方法。正如指标名称所述，有另一种使用隐蔽方法进行 Kerberoasting 攻击的方式，这种方式可以绕过许多检测机制。高级攻击者可能会偏好使用这种方式以避开大部分检测启发式方法。

了解详细信息 https://www.tenable.com/indicators/ioa/I-UnauthKerberoasting

]]> https://www.tenable.com/indicators/ioa/I-Zerologon https://www.tenable.com/indicators/ioa/I-Zerologon Critical 严重性

名称

Zerologon渗透攻击

描述

名为 Zerologon 的漏洞与 Windows Server 中的严重漏洞 (CVE-2020-1472) 相关，在 Microsoft 的 CVSS 评分系统中获得了 10.0 分。当攻击者使用 Netlogon 远程协议 (MS-NRPC)，与域控制器建立易受攻击的 Netlogon 安全通道连接时，此漏洞会提升特权。攻击者可利用此漏洞入侵域并获得域管理员特权。

了解详细信息 https://www.tenable.com/indicators/ioa/I-Zerologon

]]>