动态对象错误配置和使用
medium
语言:
描述
检测动态对象及不安全的生存时间 (TTL) 配置,这些配置可被攻击者用于创建隐蔽、自毁性的后门程序,以规避标准审计和取证分析。
解决方案
立即手动删除可疑的动态对象以防止取证规避,并将 msDS-Other-Settings TTL 值恢复为安全默认值(900 和 86400 秒)以阻断临时攻击
另见
AD Object Detection: Detecting the undetectable (dynamicObject)
指标详细信息
名称: 动态对象错误配置和使用
代码名称: C-DYNAMIC-OBJECTS
严重性: Medium
类型: Active Directory Indicator of Exposure
Family: 安全机制与生命周期
- 策略: TA0003 - 持久性
- 技术: T1098 - 帐户操纵
- 策略: TA0005 - 防御逃逸
- 技术: T1070 - 清除指标
- 策略: TA0005 - 防御逃逸
- 技术: T1562 - 削弱防御