Podezřelá Overpass-the-hash – útok (Kerberos) |
2002 |
Střední |
Laterální pohyb |
Rekognoskace výčtu účtů |
2003 |
Střední |
Zjišťování |
Podezřelý útok hrubou silou (LDAP) |
2004 |
Střední |
Přístup k přihlašovacím údajům |
Podezřelý útok DCSync (replikace adresářových služeb) |
2006 |
Vysoká |
Trvalost, přístup k přihlašovacím údajům |
Mapování sítě rekognoskace (DNS) |
2007 |
Střední |
Zjišťování |
Podezřelé použití zlatého lístku (downgrade šifrování) |
2009 |
Střední |
Eskalace oprávnění, příčný pohyb, trvalost |
Podezřelý útok z podklíče šifrování (downgrade) |
2010 |
Střední |
Boční pohyb, trvalost |
Uživatel a IP adresa rekognoskace (SMB) |
2012 |
Střední |
Zjišťování |
Podezřelé použití zlatého lístku (data s falešným oprávněním) |
2013 |
Vysoká |
Eskalace oprávnění, příčný pohyb, trvalost |
Aktivita honeytokenu |
2014 |
Střední |
Přístup k přihlašovacím údajům, zjišťování |
Podezření na krádež identity (pass-the-hash) |
2017 |
Vysoká |
Laterální pohyb |
Podezření na krádež identity (pass-the-Ticket) |
2018 |
Vysoká nebo střední |
Laterální pohyb |
Pokus o vzdálené spuštění kódu |
2019 |
Střední |
Provádění, trvalosti, eskalace oprávnění, úniková povinnost ochrany, boční pohyb |
Škodlivá žádost o Data Protection API hlavní klíč |
2020 |
Vysoká |
Přístup k přihlašovacím údajům |
Rekognoskace členství uživatelů a skupin (SAMR) |
2021 |
Střední |
Zjišťování |
Podezřelé použití zlatého lístku (časová anomálie) |
2022 |
Vysoká |
Eskalace oprávnění, příčný pohyb, trvalost |
Podezření na útok hrubou silou (Kerberos, NTLM) |
2023 |
Střední |
Přístup k přihlašovacím údajům |
Podezřelé přídavky citlivých skupin |
2024 |
Střední |
Přístup k přihlašovacím údajům, trvalost |
Podezřelé připojení VPN |
2025 |
Střední |
Trvalost, úniková povinnost ochrany |
Podezřelé vytvoření služby |
2026 |
Střední |
Provádění, trvalost, eskalace oprávnění, obrana, laterální pohyb |
Podezření na využití zlatého lístku (neexistující účet) |
2027 |
Vysoká |
Eskalace oprávnění, laterální pohyb, trvalost |
Podezřelý útok DCShadow (povýšení řadiče domény) |
2028 |
Vysoká |
Obranná obrana |
Podezřelý útok DCShadow (žádost o replikaci řadiče domény) |
2029 |
Vysoká |
Obranná obrana |
Exfiltrace dat přes protokol SMB |
2030 |
Vysoká |
Exfiltrace, laterální pohyb, příkazy a řízení |
Podezřelá komunikace přes DNS |
2031 |
Střední |
Exfiltrace |
Podezřelé využití zlatého lístku (anomálie lístku) |
2032 |
Vysoká |
Eskalace oprávnění, laterální pohyb, trvalost |
Podezřelý útok hrubou silou (SMB) |
2033 |
Střední |
Laterální pohyb |
Podezření na použití architektury hackingu metasploit |
2034 |
Střední |
Laterální pohyb |
Podezřelý útok ransomwaru WannaCry |
2035 |
Střední |
Laterální pohyb |
Vzdálené spuštění kódu přes DNS |
2036 |
Střední |
Eskalace oprávnění, laterální pohyb |
Podezřelý útok s předáváním NTLM |
2037 |
Střední nebo nízká, pokud se pozoruje pomocí podepsaného protokolu NTLM v2 |
Eskalace oprávnění, laterální pohyb |
Reconnaissance objektů zabezpečení (LDAP) |
2038 |
Střední |
Přístup k přihlašovacím údajům |
Podezření na manipulaci s ověřováním NTLM |
2039 |
Střední |
Eskalace oprávnění, laterální pohyb |
Podezřelé využití zlatého lístku (anomálie lístků s využitím RBCD) |
2040 |
Vysoká |
Trvalosti |
Podezření na použití podvodného certifikátu Kerberos |
2047 |
Vysoká |
Laterální pohyb |
Reconnaissance atributů služby Active Directory (LDAP) |
2210 |
Střední |
Zjišťování |
Podezření na manipulaci s pakety SMB (CVE-2020-0796 zneužití) – (Preview) |
2406 |
Vysoká |
Laterální pohyb |
Podezření na odhalení pn protokolu Kerberos (externí ID 2410) |
2410 |
Vysoká |
Přístup k přihlašovacím údajům |
Podezření na pokus o zvýšení oprávnění Netlogon (CVE-2020-1472 zneužití) |
2411 |
Vysoká |
Elevace oprávnění |
Podezřelý útok na pražení AS-REP |
2412 |
Vysoká |
Přístup k přihlašovacím údajům |
Exchange Server vzdáleného spuštění kódu (CVE-2021-26855) |
2414 |
Vysoká |
Laterální pohyb |
Podezřelý pokus o zneužití Windows zařazování tisku |
2415 |
Vysoká nebo Střední |
Laterální pohyb |
Podezřelé síťové připojení přes systém souborů EFS (Encrypting File System) Remote Protocol |
2416 |
Vysoká nebo Střední |
Laterální pohyb |
Podezřelé úpravy atributu sAMNameAccount (CVE-2021-42278 a CVE-2021-42287 zneužití) |
2419 |
Vysoká |
Přístup k přihlašovacím údajům |