|
Injeção de SID-History suspeita |
1106 |
High |
Escalamento de Privilégios |
|
Suspeita de ataque de passagem superior ao hash (Kerberos) |
2002 |
Média |
Movimento lateral |
|
Reconhecimento de enumeração de conta |
2003 |
Média |
Deteção |
|
Ataque de Força Bruta Suspeita (LDAP) |
2004 |
Média |
Acesso a credenciais |
|
Ataque DCSync suspeito (replicação de serviços de diretório) |
2006 |
High |
Acesso a credenciais, Persistência |
|
Reconhecimento de mapeamento de rede (DNS) |
2007 |
Média |
Deteção |
|
Suspeita de ataque over-the-hash (tipo de encriptação forçada) |
2008 |
Média |
Movimento lateral |
|
Utilização suspeita de Permissão Dourada (mudança para uma versão anterior da encriptação) |
2009 |
Média |
Persistência, Escalamento de Privilégios, Movimento lateral |
|
Ataque de Chave de Estrutura Suspeita (mudança para uma versão anterior da encriptação) |
2010 |
Média |
Persistência, Movimento lateral |
|
Reconhecimento de endereços IP e de utilizador (SMB) |
2012 |
Média |
Deteção |
|
Utilização suspeita de Permissão Dourada (dados de autorização falsificados) |
2013 |
High |
Acesso a credenciais |
|
Atividade de autenticação Honeytoken |
2014 |
Média |
Acesso a credenciais, Deteção |
|
Suspeita de roubo de identidade (pass-the-hash) |
2017 |
High |
Movimento lateral |
|
Suspeita de roubo de identidade (passagem da permissão) |
2018 |
Alto ou Médio |
Movimento lateral |
|
Tentativa de execução remota de código |
2019 |
Média |
Execução, Persistência, Escalamento de privilégios, Evasão da defesa, movimento lateral |
|
Pedido malicioso da chave mestra da API de Proteção de Dados |
2020 |
High |
Acesso a credenciais |
|
Reconhecimento de associação de utilizadores e grupos (SAMR) |
2021 |
Média |
Deteção |
|
Utilização suspeita de Permissão Dourada (anomalia de tempo) |
2022 |
High |
Persistência, Escalamento de Privilégios, Movimento lateral |
|
Suspeita de ataque de Força Bruta (Kerberos, NTLM) |
2023 |
Média |
Acesso a credenciais |
|
Adições suspeitas a grupos confidenciais |
2024 |
Média |
Persistência, Acesso a credenciais, |
|
Ligação VPN suspeita |
2025 |
Média |
Evasão à defesa, Persistência |
|
Criação de serviços suspeitos |
2026 |
Média |
Execução, Persistência, Escalamento de Privilégios, Evasão da Defesa, Movimento lateral |
|
Utilização suspeita de Permissão Dourada (conta não existente) |
2027 |
High |
Persistência, Escalamento de Privilégios, Movimento lateral |
|
Ataque DCShadow suspeito (promoção do controlador de domínio) |
2028 |
High |
Evasão da defesa |
|
Ataque DCShadow suspeito (pedido de replicação do controlador de domínio) |
2029 |
High |
Evasão da defesa |
|
Transferência de dados exfiltração através de SMB |
2030 |
High |
Exfiltração, Movimento lateral, Comando e controlo |
|
Comunicação suspeita através de DNS |
2031 |
Média |
Exfiltração |
|
Utilização suspeita de Permissão Dourada (anomalia de pedidos) |
2032 |
High |
Persistência, Escalamento de Privilégios, Movimento lateral |
|
Ataque de Força Bruta Suspeita (SMB) |
2033 |
Média |
Movimento lateral |
|
Suspeita de utilização da arquitetura de hacking Metasploit |
2034 |
Média |
Movimento lateral |
|
Ataque de ransomware WannaCry suspeito |
2035 |
Média |
Movimento lateral |
|
Execução remota de código através de DNS |
2036 |
Média |
Movimento lateral, Escalamento de privilégios |
|
Suspeita de ataque de reencaminhamento NTLM |
2037 |
Médio ou Baixo se observado com o protocolo NTLM v2 assinado |
Movimento lateral, Escalamento de privilégios |
|
Reconhecimento do principal de segurança (LDAP) |
2038 |
Elevado (caso ocorram problemas de resolução ou Ferramenta Específica detetada) e Médio |
Acesso a credenciais |
|
Suspeita de adulteração da autenticação NTLM |
2039 |
Média |
Movimento lateral, Escalamento de privilégios |
|
Utilização suspeita de Permissão Dourada (anomalia do pedido com o RBCD) |
2040 |
High |
Persistência |
|
Suspeita de utilização de certificados Kerberos não autorizados |
2047 |
High |
Movimento lateral |
|
Tentativa suspeita de delegação kerberos com o método BronzeBit (exploração CVE-2020-17049) |
2048 |
Média |
Acesso a credenciais |
|
Reconhecimento de atributos do Active Directory (LDAP) |
2210 |
Média |
Deteção |
|
Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) |
2406 |
High |
Movimento lateral |
|
Suspeita de exposição do SPN Kerberos |
2410 |
High |
Acesso a credenciais |
|
Tentativa suspeita de elevação de privilégios Netlogon (exploração CVE-2020-1472) |
2411 |
High |
Escalamento de Privilégios |
|
Suspeito de ataque de torrefação AS-REP |
2412 |
High |
Acesso a credenciais |
|
Suspeita de leitura da chave DKM do AD FS |
2413 |
High |
Acesso a credenciais |
|
Exchange Server Execução de Código Remoto (CVE-2021-26855) |
2414 |
High |
Movimento lateral |
|
Tentativa de exploração suspeita no serviço Spooler de Impressão do Windows |
2415 |
Alto ou Médio |
Movimento lateral |
|
Ligação de rede suspeita através do Protocolo Remoto do Sistema de Ficheiros de Encriptação |
2416 |
Alto ou Médio |
Movimento lateral |
|
Suspeita de pedido de permissão Kerberos suspeito |
2418 |
High |
Acesso a credenciais |
|
Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) |
2419 |
High |
Acesso a credenciais |
|
Modificação suspeita da relação de confiança do servidor do AD FS |
2420 |
Média |
Escalamento de Privilégios |
|
Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) |
2421 |
High |
Escalamento de Privilégios |
|
Tentativa suspeita de delegação kerberos por um computador recentemente criado |
2422 |
High |
Escalamento de Privilégios |
|
Modificação suspeita do atributo Delegação Restrita Baseada em Recursos por uma conta de computador |
2423 |
High |
Escalamento de Privilégios |
|
Autenticação anormal Serviços de Federação do Active Directory (AD FS) (AD FS) com um certificado suspeito |
2424 |
High |
Acesso a credenciais |
|
Utilização suspeita de certificados através do protocolo Kerberos (PKINIT) |
2425 |
High |
Movimento lateral |
|
Suspeita de ataque DFSCoerce com o Protocolo do Sistema de Ficheiros Distribuído |
2426 |
High |
Acesso a credenciais |
|
Atributos de utilizador honeytoken modificados |
2427 |
High |
Persistência |
|
A associação ao grupo Honeytoken foi alterada |
2428 |
High |
Persistência |
|
Honeytoken foi consultado através de LDAP |
2429 |
Baixo |
Deteção |
|
Modificação suspeita do AdminSdHolder do domínio |
2430 |
High |
Persistência |
|
Aquisição de conta suspeita com credenciais sombra |
2431 |
High |
Acesso a credenciais |
|
Pedido de certificado do Controlador de Domínio Suspeito (ESC8) |
2432 |
High |
Escalamento de privilégios |
|
Eliminação suspeita das entradas da base de dados de certificados |
2433 |
Média |
Evasão da defesa |
|
Desativação suspeita dos filtros de auditoria do AD CS |
2434 |
Média |
Evasão da defesa |
|
Modificações suspeitas às permissões/definições de segurança do AD CS |
2435 |
Média |
Escalamento de privilégios |
|
Reconhecimento de Enumeração de Conta (LDAP) (Pré-visualização) |
2437 |
Média |
Deteção de Conta, Conta de Domínio |
|
Alteração da Palavra-passe do Modo de Restauro dos Serviços de Diretório |
2438 |
Média |
Persistência, Manipulação de Conta |
|
Honeytoken foi consultado através de SAM-R |
2439 |
Baixo |
Deteção |
|
Adulteração de Política de Grupo |
2440 |
Média |
Evasão da defesa |