Shadow Credentials
high
언어:
설명
Shadow Credentials 백도어 기법은 정상 Microsoft "Windows Hello for Business" 기능을 악용합니다. Active Directory가 이 기능을 사용하지 않는 경우, 이 지속성 메커니즘을 쉽게 탐지할 수 있습니다. 이 기능을 사용하는 경우, 구성 오류가 있으면 손상이나 관리 불량을 의미할 수 있습니다.
솔루션
Windows Hello for Business의 키 자격 증명에 구성 오류가 있으면 Active Directory 보안에 중대한 영향을 미칠 수 있고, 대체 인증 방법을 도입하게 될 수도 있습니다. 따라서 주의 깊게 감독 관리해야 합니다.
참고 항목
Black Hat Europe 2019 - Exploiting Windows Hello for Business
Shadow Credentials Abusing Key Trust Account Mapping for Account Takeover
Parsing the msDS-KeyCredentialLink value for ShadowCredentials attack
지표 세부 정보
이름: Shadow Credentials
코드명: C-SHADOW-CREDENTIALS
심각도: High
유형: Active Directory Indicator of Exposure
Family: 인증 및 자격 증명
- 전술: TA0003 - 지속성
- 기술: T1098 - 계정 조작
- 전술: TA0006 - 자격 증명 액세스
공격자가 알려진 도구
Michael Grafnetter: DSInternals
Elad Shamir: Whisker
Charlie Bromberg: pywhisker