动态对象错误配置和使用

medium

描述

检测动态对象及不安全的生存时间 (TTL) 配置,这些配置可被攻击者用于创建隐蔽、自毁性的后门程序,以规避标准审计和取证分析。

解决方案

立即手动删除可疑的动态对象以防止取证规避,并将 msDS-Other-Settings TTL 值恢复为安全默认值(900 和 86400 秒)以阻断临时攻击

另见

Dynamic Objects

AD Object Detection: Detecting the undetectable (dynamicObject)

fun with dynamic Objects in AD: Part 1

指标详细信息

名称: 动态对象错误配置和使用

代码名称: C-DYNAMIC-OBJECTS

严重性: Medium

类型: Active Directory Indicator of Exposure

Family: 安全机制与生命周期

MITRE ATT&CK 信息: