| Verdacht auf SID-History-Injektion |
1106 |
Hoch |
Rechteausweitung |
| Verdächtiger Overpass-the-Hash-Angriff (Kerberos) |
2002 |
Medium |
Laterale Verschiebung |
| Reconnaissance mithilfe von Kontoenumeration |
2003 |
Medium |
Ermittlung |
| Verdächtiger Brute-Force-Angriff (LDAP) |
2004 |
Medium |
Zugriff auf Anmeldeinformationen |
| Verdächtiger DCSync-Angriff (Replikation von Verzeichnisdiensten) |
2006 |
Hoch |
Zugriff auf Anmeldeinformationen, Persistenz |
| Netzwerkzuordnungsaufklärung (DNS) |
2007 |
Medium |
Ermittlung |
| Verdacht auf Over-Pass-the-Hash-Angriff (erzwungene Verschlüsselung) |
2008 |
Medium |
Laterale Verschiebung |
| Verdächtige Golden Ticket-Nutzung (Verschlüsselungs-Downgrade) |
2009 |
Medium |
Persistenz, Berechtigungseskalation, Laterale Verschiebung |
| Verdächtige Skelettschlüsselangriffe (Verschlüsselungsdowngrade) |
2010 |
Medium |
Persistenz, Laterale Verschiebung |
| Benutzer- und IP-Adressenaufklärung (SMB) |
2012 |
Medium |
Ermittlung |
| Verdächtige Golden Ticket-Nutzung (geschmiedete Autorisierungsdaten) |
2013 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Honeytoken-Authentifizierungsaktivität |
2014 |
Medium |
Zugang zu Anmeldeinformationen, Entdecken |
| Verdächtiger Identitätsdiebstahl (Pass-the-Hash) |
2017 |
Hoch |
Laterale Verschiebung |
| Verdächtiger Identitätsdiebstahl (Pass-the-Ticket) |
2018 |
Hoch oder Mittel |
Laterale Verschiebung |
| Versuch der entfernten Codeausführung |
2019 |
Medium |
Ausführung, Persistenz, Berechtigungseskalation, Abwehrhinterziehung, Laterale Verschiebung |
| Bösartige Anforderung des Datenschutz-API-Hauptschlüssels |
2020 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Benutzer- und Gruppenmitgliedschaftsaufklärung (SAMR) |
2021 |
Medium |
Ermittlung |
| Verdächtige Golden Ticket-Nutzung (Anomalie) |
2022 |
Hoch |
Persistenz, Berechtigungseskalation, Laterale Verschiebung |
| Verdächtiger Brute Force-Angriff (Kerberos, NTLM) |
2023 |
Medium |
Zugriff auf Anmeldeinformationen |
| Verdächtige Ergänzungen zu vertraulichen Gruppen |
2024 |
Medium |
Persistenz, Zugriff auf Anmeldeinformationen, |
| Verdächtige VPN-Verbindung |
2025 |
Medium |
Verteidigungsumgehung, Persistenz |
| Verdächtiges Erstellen eines Diensts |
2026 |
Medium |
Ausführung, Persistenz, Berechtigungseskalation, Abwehrhinterziehung, Laterale Verschiebung |
| Verdächtige Golden Ticket-Nutzung (nicht vorhandenes Konto) |
2027 |
Hoch |
Persistenz, Berechtigungseskalation, Laterale Verschiebung |
| Verdächtiger DCShadow-Angriff (do Standard Controllerheraufstufung) |
2028 |
Hoch |
Umgehen von Verteidigungsmaßnahmen |
| Verdächtiger DCShadow-Angriff (do Standard Controllerreplikationsanforderung) |
2029 |
Hoch |
Umgehen von Verteidigungsmaßnahmen |
| Datenexfiltration über SMB |
2030 |
Hoch |
Exfiltration, Laterale Verschiebung, Command-and-control |
| Verdächtige Kommunikation über DNS |
2031 |
Medium |
Exfiltration |
| Verdächtige Golden Ticket-Nutzung (Anomalie) |
2032 |
Hoch |
Persistenz, Berechtigungseskalation, Laterale Verschiebung |
| Verdächtiger Brute-Force-Angriff (SMB) |
2033 |
Medium |
Laterale Verschiebung |
| Verdächtige Verwendung von Metasploit Hacking Framework |
2034 |
Medium |
Laterale Verschiebung |
| Verdächtiger WannaCry Ransomware-Angriff |
2035 |
Medium |
Laterale Verschiebung |
| Remotecodeausführung über DNS |
2036 |
Medium |
Lateral Movement, Rechteausweitung |
| Verdächtiger NTLM-Relayangriff |
2037 |
Mittel oder Niedrig, wenn mithilfe des signierten NTLM v2-Protokolls beobachtet wird |
Lateral Movement, Rechteausweitung |
| Sicherheitsprinzipalreconnaissance (LDAP) |
2038 |
Medium |
Zugriff auf Anmeldeinformationen |
| Verdächtige NTLM-Authentifizierungsmanipulation |
2039 |
Medium |
Lateral Movement, Rechteausweitung |
| Verdächtige Golden Ticket-Nutzung (Ticketomaly using RBCD) |
2040 |
Hoch |
Persistenz |
| Verdächtige abtrünnige Verwendung von Kerberos-Zertifikaten |
2047 |
Hoch |
Laterale Verschiebung |
| Verdächtiger Kerberos-Delegierungsversuch mithilfe der BronzeBit-Methode (CVE-2020-17049-Ausnutzung) |
2048 |
Medium |
Zugriff auf Anmeldeinformationen |
| Reconnaissance von Active-Directory-Attributen (LDAP) |
2210 |
Medium |
Ermittlung |
| Verdacht auf Manipulation von SMB-Paketen (CVE-2020-0796 Ausnutzung) |
2406 |
Hoch |
Laterale Verschiebung |
| Verdächtige Kerberos-SPN-Exposition |
2410 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Verdächtige Erhöhung von Netlogon-Berechtigungen (CVE-2020-1472-Ausbeutung) |
2411 |
Hoch |
Rechteausweitung |
| Verdächtiger AS-REP-Röstangriff |
2412 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Verdächtige AD FS DKM-Taste lesen |
2413 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Exchange Server Remotecode-Ausführung (CVE-2021-26855) |
2414 |
Hoch |
Laterale Verschiebung |
| Verdächtiger Ausbeutungsversuch für den Windows Print-Spooler-Dienst |
2415 |
Hoch oder Mittel |
Laterale Verschiebung |
| Verdächtige Netzwerkverbindung über verschlüsselndes Dateisystem-Remoteprotokoll |
2416 |
Hoch oder Mittel |
Laterale Verschiebung |
| Vermutete verdächtige Kerberos-Ticketanforderung |
2418 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Verdächtige Änderung eines sAMNameAccount-Attributs (Ausnutzung von CVE-2021-42278 und CVE-2021-42287) |
2419 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Verdächtige Änderung der Vertrauensbeziehung des AD FS-Servers |
2420 |
Medium |
Rechteausweitung |
| Verdächtige Änderung eines dNSHostName-Attributs (CVE-2022-26923) |
2421 |
Hoch |
Rechteausweitung |
| Verdächtiger Kerberos-Delegierungsversuch durch einen neu erstellten Computer |
2422 |
Hoch |
Rechteausweitung |
| Verdächtige Änderung des Attributs „Ressourcenbasierte eingeschränkte Delegierung“ durch ein Computerkonto |
2423 |
Hoch |
Rechteausweitung |
| Ungewöhnliche AD FS-Authentifizierung (Active Directory-Verbunddienste) mit einem verdächtigen Zertifikat |
2424 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Verdächtige Zertifikatsnutzung über das Kerberos-Protokoll (PKINIT) |
2425 |
Hoch |
Laterale Verschiebung |
| Vermuteter DFSCoerce-Angriff, der das Protokoll „Verteiltes Dateisystem“ verwendet |
2426 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Honeytoken-Benutzerattribute geändert |
2427 |
Hoch |
Persistenz |
| Honeytoken-Gruppenmitgliedschaft geändert |
2428 |
Hoch |
Persistenz |
| Honeytoken über LDAP abgefragt |
2429 |
Niedrig |
Ermittlung |
| Verdächtige Änderung der Domäne „AdminSdHolder“ |
2430 |
Hoch |
Persistenz |
| Vermutete Kontoübernahme mithilfe von Schattenanmeldeinformationen |
2431 |
Hoch |
Zugriff auf Anmeldeinformationen |
| Verdächtige Domänencontroller-Zertifikatanforderung (ESC8) |
2432 |
Hoch |
Ausweitung von Berechtigungen |
| Verdächtiges Löschen der Zertifikatdatenbankeinträge |
2433 |
Medium |
Umgehen von Verteidigungsmaßnahmen |
| Verdächtiges Deaktivieren von Überwachungsfiltern von AD CS |
2434 |
Medium |
Umgehen von Verteidigungsmaßnahmen |
| Verdächtige Änderungen an den AD CS-Sicherheitsberechtigungen/-einstellungen |
2435 |
Medium |
Ausweitung von Berechtigungen |
| Reconnaissance mithilfe von Kontoenumeration (LDAP) (Preview) |
2437 |
Medium |
Kontoermittlung, Domänenkonto |
| Kennwortänderung für Verzeichnisdienste-Wiederherstellungsmodus |
2438 |
Medium |
Persistenz, Kontomanipulation |
| Honeytoken über SAM-R abgefragt |
2439 |
Niedrig |
Ermittlung |
| Manipulation der Gruppenrichtlinie |
2440 |
Medium |
Umgehen von Verteidigungsmaßnahmen |