Playbook für T1003 – Dumping von Anmeldeinformationen – Mimikatz-DCSync

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents, bei denen vermutet wird, dass sie durch Mimikatz DCSync verursacht werden. Dieses Playbook wird ausgelöst, wenn einer der Mimikatz-Funktionen funktioniert (Lsadump::dcsync ) Wird verwendet. Die Funktion wird normalerweise auf angegriffenen Domänencontrollern (DC) verwendet.

    Mimikatz ist ein beliebtes Hacking-Tool, mit dem Anwender Befehle ausgeben können, mit denen vertrauliche Daten aus dem angegriffenen System abgerufen werden können. Die vertraulichen Daten umfassen Passwörter, ihre Hashes und andere.

    Hinweis:
    Dies ist eine Warnung mit hoher Genauigkeit, die vermutlich selten ausgelöst wird. Wenn er ausgelöst wird, sollten Sie ein Senior-Teammitglied oder einen Manager sofort benachrichtigen.