Persistenz- und Berechtigungsausweitungswarnungen
In der Regel werden Cyberangriffe gegen jede zugängliche Entität wie z. B. einen Benutzer mit geringen Berechtigungen gestartet und werden dann schnell seitlich verschoben, bis der Angreifer Zugriff auf wertvolle Ressourcen erhält. Wertvolle Ressourcen können vertrauliche Konten, Domänenadministratoren oder hochsensible Daten sein. Microsoft Defender for Identity identifiziert diese erweiterten Bedrohungen an der Quelle während der gesamten Kill Chain des Angriffs und klassifiziert sie in die folgenden Phasen:
- Reconnaissance- und Ermittlungswarnungen
- Persistenz und Rechteausweitung
- Zugriffswarnungen für Anmeldeinformationen
- Lateral Movement-Warnungen
- Andere Warnungen
Weitere Informationen zum Verständnis der Struktur und der allgemeinen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen. Informationen zu True Positive (TP),Benign true positive (B-TP) und False positive (FP) finden Sie unter Klassifizierungen von Sicherheitswarnungen.
Die folgenden Sicherheitswarnungen helfen Ihnen, verdächtige Aktivitäten zu identifizieren und zu beheben, die von Defender for Identity in Ihrem Netzwerk erkannt wurden.
Nachdem der Angreifer Techniken verwendet hat, um zugriff auf verschiedene lokale Ressourcen zu behalten, beginnt er die Berechtigungsausweitungsphase, die aus Techniken besteht, die Angreifer verwenden, um Berechtigungen auf einem System oder Netzwerk höherer Ebene zu erhalten. Angreifer können häufig in ein Netzwerk mit nicht privilegiertem Zugriff eintreten und es erkunden, benötigen jedoch erhöhte Berechtigungen, um ihre Ziele zu verfolgen. Gängige Ansätze sind die Nutzung von Systemschwächen, Fehlkonfigurationen und Sicherheitsrisiken.
Vermutete Verwendung von Golden Ticket (Verschlüsselungsdowngrade) (externe ID 2009)
Vorheriger Name: Verschlüsselungs downgrade-Aktivität
Schweregrad: Mittel
Beschreibung:
Das Herabstufen der Verschlüsselung ist eine Methode zur Schwächung von Kerberos, indem die Verschlüsselungsebene verschiedener Protokollfelder herabgestuft wird, die normalerweise die höchste Verschlüsselungsebene aufweisen. Ein geschwächtes verschlüsseltes Feld kann ein einfacheres Ziel für Offline-Brute-Force-Versuche sein. Verschiedene Angriffsmethoden verwenden schwache Kerberos-Verschlüsselungsmethoden. Bei dieser Erkennung lernt Defender for Identity die kerberos-Verschlüsselungstypen kennen, die von Computern und Benutzern verwendet werden, und warnt Sie, wenn ein schwächeres Cypher verwendet wird, das für den Quellcomputer und/oder Benutzer ungewöhnlich ist und mit bekannten Angriffstechniken übereinstimmt.
In einer Golden Ticket-Warnung wurde die Verschlüsselungsmethode des TGT-Felds von TGS_REQ (Service Request)-Nachricht vom Quellcomputer im Vergleich zum zuvor erlernten Verhalten als herabgestuft erkannt. Dies basiert nicht auf einer Zeitanomalie (wie bei der anderen Golden Ticket-Erkennung). Darüber hinaus wurde bei dieser Warnung keine Kerberos-Authentifizierungsanforderung mit der vorherigen Dienstanforderung verknüpft, die von Defender for Identity erkannt wurde.
Lernzeitraum:
Diese Warnung hat einen Lernzeitraum von 5 Tagen ab dem Beginn der Domänencontrollerüberwachung.
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004),Lateral Movement (TA0008) |
| MITRE-Angriffstechnik | Stehlen oder Forten von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Golden Ticket(T1558.001) |
Empfohlene Schritte zur Prävention:
- Stellen Sie sicher, dass alle Domänencontroller mit Betriebssystemen bis Windows Server 2012 R2 mit KB3011780 und alle Mitgliedsserver und Domänencontroller bis 2012 R2 mit KB2496930 auf dem neuesten Stand sind. Weitere Informationen finden Sie unter Silver PAC und Forged PAC.
Vermutete Golden Ticket-Nutzung (nicht vorhandenes Konto) (externe ID 2027)
Vorheriger Name: Kerberos Golden Ticket
Schweregrad: Hoch
Beschreibung:
Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können sie ein Kerberos Ticket Granting Ticket (TGT) erstellen, das eine Autorisierung für jede Ressource bereitstellt, und den Ticketablauf auf einen beliebigen Zeitpunkt festlegen. Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Es Angreifern, Netzwerkpersistenz zu erreichen. Bei dieser Erkennung wird eine Warnung durch ein nicht vorhandenes Konto ausgelöst.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004),Lateral Movement (TA0008) |
| MITRE-Angriffstechnik | Steal or Forge Kerberos Tickets (T1558),Exploit for Privilege Escalation (T1068), Exploit of Remote Services (T1210) (Steal or Forge Kerberos Tickets (T1558), Exploit for Privilege Escalation (T1068), Exploit of Remote Services (T1210) |
| MITRE-Angriffsuntertechnik | Golden Ticket(T1558.001) |
Vermutete Golden Ticket-Nutzung (Ticketanomalie) (externe ID 2032)
Schweregrad: Hoch
Beschreibung:
Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können sie ein Kerberos Ticket Granting Ticket (TGT) erstellen, das eine Autorisierung für jede Ressource bereitstellt, und den Ticketablauf auf einen beliebigen Zeitpunkt festlegen. Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Es Angreifern, Netzwerkpersistenz zu erreichen. Gefälschte Golden Tickets dieses Typs haben eindeutige Merkmale, die diese Erkennung speziell für die Identifizierung entwickelt hat.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004),Lateral Movement (TA0008) |
| MITRE-Angriffstechnik | Stehlen oder Forten von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Golden Ticket(T1558.001) |
Vermutete Golden Ticket-Nutzung (Ticketanomalie mit RBCD) (externe ID 2040)
Schweregrad: Hoch
Beschreibung:
Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können sie ein Kerberos-Ticket zum Erteilen eines Tickets (TGT) erstellen, das die Autorisierung für jede Ressource bereitstellt. Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Es Angreifern, Netzwerkpersistenz zu erreichen. Bei dieser Erkennung wird die Warnung durch ein Goldenes Ticket ausgelöst, das durch Festlegen von RBCD-Berechtigungen (Resource Based Constrained Delegation) mithilfe des KRBTGT-Kontos für Konto (Benutzer\Computer) mit SPN erstellt wurde.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Stehlen oder Forten von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Golden Ticket(T1558.001) |
Vermutete Golden Ticket-Nutzung (Zeitanomalie) (externe ID 2022)
Vorheriger Name: Kerberos Golden Ticket
Schweregrad: Hoch
Beschreibung:
Angreifer mit Domänenadministratorrechten können das KRBTGT-Konto kompromittieren. Mithilfe des KRBTGT-Kontos können sie ein Kerberos Ticket Granting Ticket (TGT) erstellen, das eine Autorisierung für jede Ressource bereitstellt, und den Ticketablauf auf einen beliebigen Zeitpunkt festlegen. Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht Es Angreifern, Netzwerkpersistenz zu erreichen. Diese Warnung wird ausgelöst, wenn ein Kerberos-Ticket gewährtes Ticket für mehr als die zulässige Zeit verwendet wird, wie unter Maximale Lebensdauer für Benutzerticket angegeben.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004),Lateral Movement (TA0008) |
| MITRE-Angriffstechnik | Stehlen oder Forten von Kerberos-Tickets (T1558) |
| MITRE-Angriffsuntertechnik | Golden Ticket(T1558.001) |
Vermuteter Skeleton-Schlüsselangriff (Verschlüsselungsdowngrade) (externe ID 2010)
Vorheriger Name: Verschlüsselungs downgrade-Aktivität
Schweregrad: Mittel
Beschreibung:
Das Herabstufen der Verschlüsselung ist eine Methode zur Schwächung von Kerberos mithilfe einer herabgestuften Verschlüsselungsstufe für verschiedene Felder des Protokolls, die normalerweise die höchste Verschlüsselungsebene aufweisen. Ein geschwächtes verschlüsseltes Feld kann ein einfacheres Ziel für Offline-Brute-Force-Versuche sein. Verschiedene Angriffsmethoden verwenden schwache Kerberos-Verschlüsselungsmethoden. In dieser Erkennung lernt Defender for Identity die Kerberos-Verschlüsselungstypen kennen, die von Computern und Benutzern verwendet werden. Die Warnung wird ausgegeben, wenn ein schwächeres Cypher verwendet wird, das für den Quellcomputer und/oder Benutzer ungewöhnlich ist und mit bekannten Angriffstechniken übereinstimmt.
Skeleton Key ist Schadsoftware, die auf Domänencontrollern ausgeführt wird und die Authentifizierung bei der Domäne mit einem beliebigen Konto ermöglicht, ohne dessen Kennwort zu kennen. Diese Schadsoftware verwendet häufig schwächere Verschlüsselungsalgorithmen, um die Kennwörter des Benutzers auf dem Domänencontroller zu hashen. In dieser Warnung wurde das gelernte Verhalten der vorherigen KRB_ERR Nachrichtenverschlüsselung vom Domänencontroller an das Konto, das ein Ticket anfordert, herabgestuft.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| Sekundäre MITRE-Taktik | Lateral Movement (TA0008) |
| MITRE-Angriffstechnik | Ausnutzung von Remotediensten (T1210),Authentifizierungsprozess ändern (T1556) |
| MITRE-Angriffsuntertechnik | Domänencontrollerauthentifizierung (T1556.001) |
Verdächtige Ergänzungen zu vertraulichen Gruppen (externe ID 2024)
Schweregrad: Mittel
Beschreibung:
Angreifer fügen Benutzer zu Gruppen mit hohen Berechtigungen hinzu. Das Hinzufügen von Benutzern erfolgt, um Zugriff auf weitere Ressourcen zu erhalten und Dauerhaftigkeit zu erhalten. Diese Erkennung basiert auf der Profilerstellung der Gruppenänderungsaktivitäten von Benutzern und der Warnung, wenn eine ungewöhnliche Ergänzung zu einer sensiblen Gruppe angezeigt wird. Defender for Identity-Profile kontinuierlich.
Eine Definition vertraulicher Gruppen in Defender for Identity finden Sie unter Arbeiten mit sensiblen Konten.
Die Erkennung basiert auf Ereignissen, die auf Domänencontrollern überwacht werden. Stellen Sie sicher, dass ihre Domänencontroller die erforderlichen Ereignisse überwachen.
Lernzeitraum:
Vier Wochen pro Domänencontroller, beginnend mit dem ersten Ereignis.
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| Sekundäre MITRE-Taktik | Zugriff auf Anmeldeinformationen (TA0006) |
| MITRE-Angriffstechnik | Kontobearbeitung (T1098),Domänenrichtlinienänderung (T1484) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
- Um zukünftige Angriffe zu verhindern, minimieren Sie die Anzahl der Benutzer, die zum Ändern vertraulicher Gruppen autorisiert sind.
- Richten Sie ggf. Privileged Access Management für Active Directory ein.
Mutmaßlicher Versuch zur Erhöhung von Netlogon-Berechtigungen (CVE-2020-1472-Ausnutzung) (externe ID 2411)
Schweregrad: Hoch
Beschreibung: Microsoft hat CVE-2020-1472 mit der Ankündigung veröffentlicht, dass eine neue Sicherheitsanfälligkeit vorliegt, die die Rechteerweiterung für den Domänencontroller ermöglicht.
Ein Sicherheitsrisiko durch Rechteerweiterungen liegt vor, wenn ein Angreifer eine anfällige sichere Netlogon-Kanalverbindung mit einem Domänencontroller unter Verwendung des Netlogon-Remoteprotokolls (MS-NRPC) herstellt, auch bekannt als Netlogon-Sicherheitsrisiko durch Rechteerweiterungen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Rechteausweitung (TA0004) |
|---|---|
| MITRE-Angriffstechnik | Nicht zutreffend |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Empfohlene Schritte zur Prävention:
- Lesen Sie unseren Leitfaden zum Verwalten von Änderungen in der sicheren Netlogon-Kanalverbindung, die sich auf dieses Sicherheitsrisiko beziehen und verhindern können.
Geänderte Honeytoken-Benutzerattribute (externe ID 2427)
Schweregrad: Hoch
Beschreibung: Jedes Benutzerobjekt in Active Directory verfügt über Attribute, die Informationen wie Vorname, Vorname, Nachname, Telefonnummer, Adresse und mehr enthalten. Manchmal versuchen Angreifer, diese Objekte zu ihrem Vorteil zu manipulieren, z. B. indem sie die Telefonnummer eines Kontos ändern, um Zugriff auf einen Multi-Faktor-Authentifizierungsversuch zu erhalten. Microsoft Defender for Identity löst diese Warnung für jede Attributänderung für einen vorkonfigurierten Honeytoken-Benutzer aus.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| MITRE-Angriffstechnik | Kontobearbeitung (T1098) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Honeytoken-Gruppenmitgliedschaft geändert (externe ID 2428)
Schweregrad: Hoch
Beschreibung: In Active Directory ist jeder Benutzer Mitglied einer oder mehrerer Gruppen. Nach dem Zugriff auf ein Konto können Angreifer versuchen, anderen Benutzern Berechtigungen hinzuzufügen oder daraus zu entfernen, indem sie diese entfernen oder sicherheitsgruppen hinzufügen. Microsoft Defender for Identity löst eine Warnung aus, wenn eine Änderung an einem vorkonfigurierten Honeytoken-Benutzerkonto vorgenommen wird.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| MITRE-Angriffstechnik | Kontobearbeitung (T1098) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Verdacht auf SID-History Injektion (externe ID 1106)
Schweregrad: Hoch
Beschreibung: SIDHistory ist ein Attribut in Active Directory, mit dem Benutzer ihre Berechtigungen und den Zugriff auf Ressourcen beibehalten können, wenn ihr Konto von einer Domäne zu einer anderen migriert wird. Wenn ein Benutzerkonto zu einer neuen Domäne migriert wird, wird die SID des Benutzers dem SIDHistory-Attribut seines Kontos in der neuen Domäne hinzugefügt. Dieses Attribut enthält eine Liste von SIDs aus der vorherigen Domäne des Benutzers.
Angreifer können die SIH-Verlaufsinjektion verwenden, um Berechtigungen zu eskalieren und Zugriffssteuerungen zu umgehen. Diese Erkennung wird ausgelöst, wenn dem SIDHistory-Attribut neu hinzugefügt wurde.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Rechteausweitung (TA0004) |
|---|---|
| MITRE-Angriffstechnik | Kontobearbeitung (T1134) |
| MITRE-Angriffsuntertechnik | SID-History Injection(T1134.005) |
Verdächtige Änderung eines dNSHostName-Attributs (CVE-2022-26923) (externe ID 2421)
Schweregrad: Hoch
Beschreibung:
Dieser Angriff umfasst die nicht autorisierte Änderung des dNSHostName-Attributs, wodurch möglicherweise ein bekanntes Sicherheitsrisiko ausgenutzt wird (CVE-2022-26923). Angreifer können dieses Attribut manipulieren, um die Integrität des DNS-Auflösungsprozesses (Domain Name System) zu gefährden, was zu verschiedenen Sicherheitsrisiken führt, einschließlich Man-in-the-Middle-Angriffen oder nicht autorisiertem Zugriff auf Netzwerkressourcen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Rechteausweitung (TA0004) |
|---|---|
| Sekundäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
| MITRE-Angriffstechnik | Exploit for Privilege Escalation (T1068),Access Token Manipulation (T1134) |
| MITRE-Angriffsuntertechnik | Tokenidentitätswechsel/Diebstahl (T1134.001) |
Verdächtige Änderung der Domäne AdminSdHolder (externe ID 2430)
Schweregrad: Hoch
Beschreibung:
Angreifer können auf den Domain AdminSdHolder abzielen und nicht autorisierte Änderungen vornehmen. Dies kann zu Sicherheitsrisiken führen, indem die Sicherheitsbeschreibungen privilegierter Konten geändert werden. Die regelmäßige Überwachung und Sicherung kritischer Active Directory-Objekte ist unerlässlich, um nicht autorisierte Änderungen zu verhindern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Persistenz (TA0003) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Kontobearbeitung (T1098) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Verdächtiger Kerberos-Delegierungsversuch durch einen neu erstellten Computer (externe ID 2422)
Schweregrad: Hoch
Beschreibung:
Bei diesem Angriff handelt es sich um eine verdächtige Kerberos-Ticketanforderung durch einen neu erstellten Computer. Nicht autorisierte Kerberos-Ticketanforderungen können auf potenzielle Sicherheitsbedrohungen hinweisen. Die Überwachung von ungewöhnlichen Ticketanforderungen, die Überprüfung von Computerkonten und die sofortige Behandlung verdächtiger Aktivitäten sind unerlässlich, um nicht autorisierten Zugriff und potenzielle Gefährdungen zu verhindern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Änderung der Domänenrichtlinie (T1484) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Verdächtige Zertifikatanforderung für Domänencontroller (ESC8) (externe ID 2432)
Schweregrad: Hoch
Beschreibung:
Eine ungewöhnliche Anforderung für ein Domänencontrollerzertifikat (ESC8) löst Bedenken hinsichtlich potenzieller Sicherheitsbedrohungen aus. Dies könnte ein Versuch sein, die Integrität der Zertifikatinfrastruktur zu kompromittieren, was zu nicht autorisiertem Zugriff und Datenschutzverletzungen führt.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| Sekundäre MITRE-Taktik | Persistenz (TA0003),Rechteausweitung (TA0004),Erstzugriff (TA0001) |
| MITRE-Angriffstechnik | Gültige Konten (T1078) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Hinweis
EsC8-Warnungen (Suspicious Domain Controller Certificate Request) werden nur von Defender for Identity-Sensoren in AD CS unterstützt.
Verdächtige Änderungen an den AD CS-Sicherheitsberechtigungen/-einstellungen (externe ID 2435)
Schweregrad: Mittel
Beschreibung:
Angreifer können auf die Sicherheitsberechtigungen und -einstellungen der Active Directory-Zertifikatdienste (AD CS) abzielen, um die Ausstellung und Verwaltung von Zertifikaten zu manipulieren. Nicht autorisierte Änderungen können Zu Sicherheitsrisiken führen, die Zertifikatintegrität beeinträchtigen und die Gesamtsicherheit der PKI-Infrastruktur beeinträchtigen.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Änderung der Domänenrichtlinie (T1484) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |
Hinweis
Verdächtige Änderungen an den AD CS-Sicherheitsberechtigungen/Einstellungswarnungen werden nur von Defender for Identity-Sensoren in AD CS unterstützt.
Verdächtige Änderung der Vertrauensstellung des AD FS-Servers (externe ID 2420)
Schweregrad: Mittel
Beschreibung:
Nicht autorisierte Änderungen an der Vertrauensstellung von AD FS-Servern können die Sicherheit von Verbundidentitätssystemen gefährden. Die Überwachung und Sicherung von Vertrauenskonfigurationen ist wichtig, um nicht autorisierten Zugriff zu verhindern.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Änderung der Domänenrichtlinie (T1484) |
| MITRE-Angriffsuntertechnik | Änderung der Domänenvertrauensstellung (T1484.002) |
Hinweis
Verdächtige Änderungen der Vertrauensstellung von AD FS-Serverwarnungen werden nur von Defender for Identity-Sensoren in AD FS unterstützt.
Verdächtige Änderung des Attributs "Ressourcenbasierte eingeschränkte Delegierung" durch ein Computerkonto (externe ID 2423)
Schweregrad: Hoch
Beschreibung:
Nicht autorisierte Änderungen am attribut Resource-Based Eingeschränkte Delegierung durch ein Computerkonto können zu Sicherheitsverletzungen führen, sodass Angreifer die Identität von Benutzern annehmen und auf Ressourcen zugreifen können. Die Überwachung und Sicherung von Delegierungskonfigurationen ist für die Verhinderung von Missbrauch unerlässlich.
Lernzeitraum:
Keine
MITRE:
| Primäre MITRE-Taktik | Verteidigungsumgehung (TA0005) |
|---|---|
| Sekundäre MITRE-Taktik | Rechteausweitung (TA0004) |
| MITRE-Angriffstechnik | Änderung der Domänenrichtlinie (T1484) |
| MITRE-Angriffsuntertechnik | Nicht zutreffend |