|
Sospecha de inyección de SID-History |
1106 |
Alto |
Elevación de privilegios |
|
Sospecha de ataque overpass-the-hash (Kerberos) |
2002 |
Mediano |
Movimiento lateral |
|
Reconocimiento de enumeración de cuentas |
2003 |
Mediano |
Descubrimiento |
|
Sospecha de ataque por fuerza bruta (LDAP) |
2004 |
Mediano |
Acceso a credenciales |
|
Sospecha de ataque DCSync (replicación de servicios de directorio) |
2006 |
Alto |
Acceso a credenciales, persistencia |
|
Reconocimiento de asignación de red (DNS) |
2007 |
Mediano |
Descubrimiento |
|
Sospecha de ataque de sobre-paso del hash (tipo de cifrado forzado) |
2008 |
Mediano |
Movimiento lateral |
|
Sospecha de uso de Golden Ticket (degradación del cifrado) |
2009 |
Mediano |
Persistencia, escalación de privilegios, movimiento lateral |
|
Sospecha de ataque de clave de esqueleto (degradación del cifrado) |
2010 |
Mediano |
Persistencia, movimiento lateral |
|
Reconocimiento de direcciones IP y de usuario (SMB) |
2012 |
Mediano |
Descubrimiento |
|
Sospecha de uso de Golden Ticket (datos de autorización falsificados) |
2013 |
Alto |
Acceso a credenciales |
|
Actividad de autenticación honeytoken |
2014 |
Mediano |
Acceso a credenciales, detección |
|
Sospecha de robo de identidad (pass-the-hash) |
2017 |
Alto |
Movimiento lateral |
|
Sospecha de robo de identidad (pass-the-ticket) |
2018 |
Alto o medio |
Movimiento lateral |
|
Intento de ejecución remota de código |
2019 |
Mediano |
Ejecución, Persistencia, Escalación de privilegios, Evasión de defensa, Movimiento lateral |
|
Solicitud malintencionada de clave maestra de Data Protection API |
2020 |
Alto |
Acceso a credenciales |
|
Reconocimiento de pertenencia a usuarios y grupos (SAMR) |
2021 |
Mediano |
Descubrimiento |
|
Sospecha de uso de Golden Ticket (anomalía de tiempo) |
2022 |
Alto |
Persistencia, escalación de privilegios, movimiento lateral |
|
Sospecha de ataque por fuerza bruta (Kerberos, NTLM) |
2023 |
Mediano |
Acceso a credenciales |
|
Adiciones sospechosas a grupos confidenciales |
2024 |
Mediano |
Persistencia, acceso a credenciales, |
|
Conexión VPN sospechosa |
2025 |
Mediano |
Evasión de defensa, persistencia |
|
Creación de servicios sospechosos |
2026 |
Mediano |
Ejecución, persistencia, escalación de privilegios, evasión de defensa, movimiento lateral |
|
Sospecha de uso de Golden Ticket (cuenta inexistente) |
2027 |
Alto |
Persistencia, escalación de privilegios, movimiento lateral |
|
Sospecha de ataque DCShadow (promoción del controlador de dominio) |
2028 |
Alto |
Evasión de defensa |
|
Sospecha de ataque DCShadow (solicitud de replicación del controlador de dominio) |
2029 |
Alto |
Evasión de defensa |
|
Filtración de datos a través de SMB |
2030 |
Alto |
Filtración, movimiento lateral, comando y control |
|
Comunicación sospechosa a través de DNS |
2031 |
Mediano |
Filtración |
|
Sospecha de uso de Golden Ticket (anomalía de vales) |
2032 |
Alto |
Persistencia, escalación de privilegios, movimiento lateral |
|
Sospecha de ataque por fuerza bruta (SMB) |
2033 |
Mediano |
Movimiento lateral |
|
Sospecha de uso del marco de piratería metasploit |
2034 |
Mediano |
Movimiento lateral |
|
Sospecha de ataque de ransomware WannaCry |
2035 |
Mediano |
Movimiento lateral |
|
Ejecución remota de código a través de DNS |
2036 |
Mediano |
Movimiento lateral, Escalación de privilegios |
|
Sospecha de ataque de retransmisión NTLM |
2037 |
Medio o Bajo si se observa mediante el protocolo NTLM v2 firmado |
Movimiento lateral, Escalación de privilegios |
|
Reconocimiento de entidad de seguridad (LDAP) |
2038 |
Alta (en problemas de resolución de casos o herramienta específica detectada) y media |
Acceso a credenciales |
|
Sospecha de manipulación de la autenticación NTLM |
2039 |
Mediano |
Movimiento lateral, Escalación de privilegios |
|
Sospecha de uso de Golden Ticket (anomalía de vales mediante RBCD) |
2040 |
Alto |
Persistencia |
|
Sospecha de uso de certificados Kerberos no autorizados |
2047 |
Alto |
Movimiento lateral |
|
Intento sospechoso de delegación kerberos mediante el método BronzeBit (explotación CVE-2020-17049) |
2048 |
Mediano |
Acceso a credenciales |
|
Reconocimiento de atributos de Active Directory (LDAP) |
2210 |
Mediano |
Descubrimiento |
|
Sospecha de manipulación de paquetes SMB (explotación CVE-2020-0796) |
2406 |
Alto |
Movimiento lateral |
|
Sospecha de exposición de SPN de Kerberos |
2410 |
Alto |
Acceso a credenciales |
|
Sospecha de intento de elevación de privilegios de Netlogon (explotación CVE-2020-1472) |
2411 |
Alto |
Elevación de privilegios |
|
Sospecha de ataque de asador AS-REP |
2412 |
Alto |
Acceso a credenciales |
|
Sospecha de lectura de clave DKM de AD FS |
2413 |
Alto |
Acceso a credenciales |
|
Exchange Server ejecución remota de código (CVE-2021-26855) |
2414 |
Alto |
Movimiento lateral |
|
Sospecha de intento de explotación en el servicio de cola de impresión de Windows |
2415 |
Alto o medio |
Movimiento lateral |
|
Conexión de red sospechosa a través del protocolo remoto del sistema de archivos de cifrado |
2416 |
Alto o medio |
Movimiento lateral |
|
Sospecha de solicitud sospechosa de vale de Kerberos |
2418 |
Alto |
Acceso a credenciales |
|
Modificación sospechosa de un atributo sAMNameAccount (explotación CVE-2021-42278 y CVE-2021-42287) |
2419 |
Alto |
Acceso a credenciales |
|
Modificación sospechosa de la relación de confianza del servidor de AD FS |
2420 |
Mediano |
Elevación de privilegios |
|
Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923) |
2421 |
Alto |
Elevación de privilegios |
|
Intento sospechoso de delegación kerberos por parte de un equipo recién creado |
2422 |
Alto |
Elevación de privilegios |
|
Modificación sospechosa del atributo delegación restringida basada en recursos por una cuenta de equipo |
2423 |
Alto |
Elevación de privilegios |
|
Autenticación anómala de Servicios de federación de Active Directory (AD FS) (AD FS) mediante un certificado sospechoso |
2424 |
Alto |
Acceso a credenciales |
|
Uso sospechoso de certificados a través del protocolo Kerberos (PKINIT) |
2425 |
Alto |
Movimiento lateral |
|
Sospecha de ataque DFSCoerce mediante el protocolo de sistema de archivos distribuido |
2426 |
Alto |
Acceso a credenciales |
|
Atributos de usuario honeytoken modificados |
2427 |
Alto |
Persistencia |
|
Se ha cambiado la pertenencia a grupos honeytoken |
2428 |
Alto |
Persistencia |
|
Honeytoken se consultó a través de LDAP |
2429 |
Bajo |
Descubrimiento |
|
Modificación sospechosa del dominio AdminSdHolder |
2430 |
Alto |
Persistencia |
|
Sospecha de adquisición de la cuenta mediante credenciales de instantánea |
2431 |
Alto |
Acceso a credenciales |
|
Solicitud de certificado del controlador de dominio sospechoso (ESC8) |
2432 |
Alto |
Escalación de privilegios |
|
Eliminación sospechosa de las entradas de la base de datos de certificados |
2433 |
Mediano |
Evasión de defensa |
|
Deshabilitación sospechosa de filtros de auditoría de AD CS |
2434 |
Mediano |
Evasión de defensa |
|
Modificaciones sospechosas en la configuración o permisos de seguridad de AD CS |
2435 |
Mediano |
Escalación de privilegios |
|
Reconocimiento de la enumeración de cuentas (LDAP) ( versión preliminar) |
2437 |
Mediano |
Detección de cuentas, cuenta de dominio |
|
Cambio de contraseña del modo de restauración de Servicios de directorio |
2438 |
Mediano |
Persistencia, Manipulación de cuentas |
|
Honeytoken se consultó a través de SAM-R |
2439 |
Bajo |
Descubrimiento |
|
Manipulación de directiva de grupo |
2440 |
Mediano |
Evasión de defensa |