检测

Shadow Credentials

high

语言:

描述

Shadow Credentials 后门程序技术利用了合法的 Microsoft“Windows Hello for Business”功能。如果 Active Directory 不使用该功能,则可以轻松检测到这种持久性机制。如果 Active Directory 使用该功能,错误配置可能表明存在入侵或不良管理实践。

解决方案

在 Windows Hello for Business 功能中,密钥凭据错误配置会对 Active Directory 安全性产生重大影响,进而可能会引入其他身份验证方法。因此,您必须充分关注和监督这些配置。

另见

Black Hat Europe 2019 - Exploiting Windows Hello for Business

Shadow Credentials Abusing Key Trust Account Mapping for Account Takeover

Shadow Credentials

Parsing the msDS-KeyCredentialLink value for ShadowCredentials attack

WHfB and Entra ID - Say hello to your new cache flow

指标详细信息

名称: Shadow Credentials

代码名称: C-SHADOW-CREDENTIALS

严重性: High

类型: Active Directory Indicator of Exposure

Family: 身份验证和凭据

MITRE ATT&CK 信息:

攻击者已知工具

Michael Grafnetter: DSInternals

Elad Shamir: Whisker

Charlie Bromberg: pywhisker