|
Предполагаемая инъекция SID-History |
1106 |
Высокая |
Повышение привилегий |
|
Предполагаемая атака путепровода с хэшом (Kerberos) |
2002 |
Средняя |
Боковое смещение |
|
Разведывательная разведка перечисления учетных записей |
2003 |
Средняя |
Обнаружение |
|
Предполагаемая атака методом подбора (LDAP) |
2004 |
Средняя |
Доступ к учетным данным |
|
Предполагаемая атака DCSync (репликация служб каталогов) |
2006 |
Высокая |
Доступ к учетным данным, сохраняемость |
|
Разведывательная разведка сопоставления сети (DNS) |
2007 |
Средняя |
Обнаружение |
|
Предполагаемая атака с передачей хэша (тип принудительного шифрования) |
2008 |
Средняя |
Боковое смещение |
|
Предполагаемое использование Golden Ticket (понижение уровня шифрования) |
2009 |
Средняя |
Сохраняемость, повышение привилегий, боковое перемещение |
|
Предполагаемая атака с использованием скелетного ключа (понижение уровня шифрования) |
2010 |
Средняя |
Сохраняемость, боковое смещение |
|
Разведывательная разведка пользователей и IP-адресов (SMB) |
2012 |
Средняя |
Обнаружение |
|
Предполагаемое использование Golden Ticket (поддельные данные авторизации) |
2013 |
Высокая |
Доступ к учетным данным |
|
Действие проверки подлинности Honeytoken |
2014 |
Средняя |
Доступ к учетным данным, обнаружение |
|
Подозрение на кражу удостоверений (pass-the-hash) |
2017 |
Высокая |
Боковое смещение |
|
Подозрение на кражу удостоверений (pass-the-ticket) |
2018 |
Высокий или Средний |
Боковое смещение |
|
Попытка удаленного выполнения кода |
2019 |
Средняя |
Выполнение, сохраняемость, повышение привилегий, уклонение от защиты, боковое движение |
|
Вредоносный запрос master ключа API защиты данных |
2020 |
Высокая |
Доступ к учетным данным |
|
Разведывательная разведка членства пользователей и групп (SAMR) |
2021 |
Средняя |
Обнаружение |
|
Предполагаемое использование Golden Ticket (аномалия времени) |
2022 |
Высокая |
Сохраняемость, повышение привилегий, боковое перемещение |
|
Предполагаемая атака методом подбора (Kerberos, NTLM) |
2023 |
Средняя |
Доступ к учетным данным |
|
Подозрительные добавления в конфиденциальные группы |
2024 |
Средняя |
Сохраняемость, доступ к учетным данным, |
|
Подозрительное VPN-подключение |
2025 |
Средняя |
Уклонение от обороны, сохраняемость |
|
Подозрительное создание службы |
2026 |
Средняя |
Выполнение, сохраняемость, эскалация привилегий, уклонение от защиты, боковое движение |
|
Предполагаемое использование Golden Ticket (несуществующая учетная запись) |
2027 |
Высокая |
Сохраняемость, повышение привилегий, боковое перемещение |
|
Предполагаемая атака DCShadow (повышение уровня контроллера домена) |
2028 |
Высокая |
Уклонение от обороны |
|
Предполагаемая атака DCShadow (запрос на репликацию контроллера домена) |
2029 |
Высокая |
Уклонение от обороны |
|
Кража данных через SMB |
2030 |
Высокая |
Кража, боковое смещение, команда и управление |
|
Подозрительная связь через DNS |
2031 |
Средняя |
Кража данных |
|
Предполагаемое использование Golden Ticket (аномалия билета) |
2032 |
Высокая |
Сохраняемость, повышение привилегий, боковое перемещение |
|
Предполагаемая атака методом подбора (SMB) |
2033 |
Средняя |
Боковое смещение |
|
Предполагаемое использование платформы взлома Metasploit |
2034 |
Средняя |
Боковое смещение |
|
Предполагаемая атака программы-шантажиста WannaCry |
2035 |
Средняя |
Боковое смещение |
|
Удаленное выполнение кода через DNS |
2036 |
Средняя |
Боковое смещение, повышение привилегий |
|
Предполагаемая атака ретранслятора NTLM |
2037 |
Средний или низкий, если наблюдается использование подписанного протокола NTLM версии 2 |
Боковое смещение, повышение привилегий |
|
Разведывательная разведка субъекта безопасности (LDAP) |
2038 |
Высокий (в случае устранения проблем или обнаружен определенный инструмент) и средний |
Доступ к учетным данным |
|
Предполагаемое изменение проверки подлинности NTLM |
2039 |
Средняя |
Боковое смещение, повышение привилегий |
|
Предполагаемое использование Golden Ticket (аномалия билета с помощью RBCD) |
2040 |
Высокая |
Сохранение |
|
Предполагаемое использование сертификата Kerberos изгоев |
2047 |
Высокая |
Боковое смещение |
|
Подозрительная попытка делегирования Kerberos с помощью метода BronzeBit (эксплуатация CVE-2020-17049) |
2048 |
Средняя |
Доступ к учетным данным |
|
Разведывательная разведка атрибутов Active Directory (LDAP) |
2210 |
Средняя |
Обнаружение |
|
Предполагаемая обработка пакетов SMB (эксплуатация CVE-2020-0796) |
2406 |
Высокая |
Боковое смещение |
|
Предполагаемое воздействие имени субъекта-службы Kerberos |
2410 |
Высокая |
Доступ к учетным данным |
|
Предполагаемая попытка повышения привилегий netlogon (эксплуатация CVE-2020-1472) |
2411 |
Высокая |
Повышение привилегий |
|
Подозреваемая атака as-REP Roasting |
2412 |
Высокая |
Доступ к учетным данным |
|
Предполагаемое чтение ключа DKM AD FS |
2413 |
Высокая |
Доступ к учетным данным |
|
Exchange Server удаленное выполнение кода (CVE-2021-26855) |
2414 |
Высокая |
Боковое смещение |
|
Предполагаемая попытка использования в службе диспетчера очереди печати Windows |
2415 |
Высокий или Средний |
Боковое смещение |
|
Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы |
2416 |
Высокий или Средний |
Боковое смещение |
|
Подозрительный запрос билета Kerberos |
2418 |
Высокая |
Доступ к учетным данным |
|
Подозрительное изменение атрибута sAMNameAccount (использование CVE-2021-42278 и CVE-2021-42287) |
2419 |
Высокая |
Доступ к учетным данным |
|
Подозрительное изменение отношения доверия сервера AD FS |
2420 |
Средняя |
Повышение привилегий |
|
Подозрительное изменение атрибута dNSHostName (CVE-2022-26923) |
2421 |
Высокая |
Повышение привилегий |
|
Подозрительная попытка делегирования Kerberos на созданном компьютере |
2422 |
Высокая |
Повышение привилегий |
|
Подозрительное изменение атрибута ограниченного делегирования на основе ресурсов учетной записью компьютера |
2423 |
Высокая |
Повышение привилегий |
|
Аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с использованием подозрительного сертификата |
2424 |
Высокая |
Доступ к учетным данным |
|
Подозрительное использование сертификата по протоколу Kerberos (PKINIT) |
2425 |
Высокая |
Боковое смещение |
|
Предполагаемая атака DFSCoerce с использованием протокола распределенной файловой системы |
2426 |
Высокая |
Доступ к учетным данным |
|
Измененные атрибуты пользователя Honeytoken |
2427 |
Высокая |
Сохранение |
|
Изменено членство в группах Honeytoken |
2428 |
Высокая |
Сохранение |
|
Запрос к Honeytoken через LDAP |
2429 |
Низкая |
Обнаружение |
|
Подозрительное изменение домена AdminSdHolder |
2430 |
Высокая |
Сохранение |
|
Предполагаемое поглощение учетной записи с использованием теневых учетных данных |
2431 |
Высокая |
Доступ к учетным данным |
|
Подозрительный запрос на сертификат контроллера домена (ESC8) |
2432 |
Высокая |
Повышение привилегий |
|
Подозрительное удаление записей базы данных сертификатов |
2433 |
Средняя |
Уклонение от обороны |
|
Подозрительное отключение фильтров аудита ad CS |
2434 |
Средняя |
Уклонение от обороны |
|
Подозрительные изменения разрешений и параметров безопасности ad CS |
2435 |
Средняя |
Повышение привилегий |
|
Разведывательная разведка перечисления учетных записей (LDAP) (предварительная версия) |
2437 |
Средняя |
Обнаружение учетных записей, учетная запись домена |
|
Изменение пароля в режиме восстановления служб каталогов |
2438 |
Средняя |
Сохраняемость, управление учетными записями |
|
Honeytoken был запрошен через SAM-R |
2439 |
Низкая |
Обнаружение |
|
изменение групповая политика |
2440 |
Средняя |
Уклонение от обороны |