| Verdachte SID-Geschiedenisinjectie |
1106 |
Hoog |
Escalatie van bevoegdheden |
| Verdachte overpass-the-hash-aanval (Kerberos) |
2002 |
Gemiddeld |
Zijwaartse beweging |
| Reconnaissance van account-inventarisatie |
2003 |
Gemiddeld |
Detectie |
| Verdachte brute force-aanval (LDAP) |
2004 |
Gemiddeld |
Toegang tot referenties |
| Verdachte DCSync-aanval (replicatie van adreslijstservices) |
2006 |
Hoog |
Referentietoegang, persistentie |
| Reconnaissance voor netwerktoewijzing (DNS) |
2007 |
Gemiddeld |
Detectie |
| Verdachte over-pass-the-hash-aanval (geforceerd versleutelingstype) |
2008 |
Gemiddeld |
Zijwaartse beweging |
| Verdacht Golden Ticket-gebruik (versleutelings downgrade) |
2009 |
Gemiddeld |
Persistentie, Escalatie van bevoegdheden, laterale beweging |
| Verdachte Skeleton Key-aanval (downgrade van versleuteling) |
2010 |
Gemiddeld |
Persistentie, laterale beweging |
| Reconnaissance van gebruikers- en IP-adressen (SMB) |
2012 |
Gemiddeld |
Detectie |
| Verdacht Golden Ticket-gebruik (vervalste autorisatiegegevens) |
2013 |
Hoog |
Toegang tot referenties |
| Honeytoken-verificatieactiviteit |
2014 |
Gemiddeld |
Toegang tot referenties, detectie |
| Vermoedelijke identiteitsdiefstal (pass-the-hash) |
2017 |
Hoog |
Zijwaartse beweging |
| Vermoedelijke identiteitsdiefstal (pass-the-ticket) |
2018 |
Hoog of gemiddeld |
Zijwaartse beweging |
| Uitvoeringspoging voor externe code |
2019 |
Gemiddeld |
Uitvoering, Persistentie, Privilege-escalatie, Verdedigingsontduiking, Laterale beweging |
| Schadelijke aanvraag van de hoofdsleutel van de Data Protection-API |
2020 |
Hoog |
Toegang tot referenties |
| Reconnaissance voor gebruikers- en groepslidmaatschappen (SAMR) |
2021 |
Gemiddeld |
Detectie |
| Verdacht Golden Ticket-gebruik (tijdafwijking) |
2022 |
Hoog |
Persistentie, Escalatie van bevoegdheden, laterale beweging |
| Verdachte Brute Force-aanval (Kerberos, NTLM) |
2023 |
Gemiddeld |
Toegang tot referenties |
| Verdachte toevoegingen aan gevoelige groepen |
2024 |
Gemiddeld |
Persistentie, referentietoegang, |
| Verdachte VPN-verbinding |
2025 |
Gemiddeld |
Ontduiking, persistentie |
| Suspicious service creation |
2026 |
Gemiddeld |
Uitvoering, Persistentie, Privilege Escalatie, Verdedigingsontduiking, Laterale beweging |
| Verdacht Golden Ticket-gebruik (niet-bestaand account) |
2027 |
Hoog |
Persistentie, Escalatie van bevoegdheden, laterale beweging |
| Verdachte DCShadow-aanval (promotie van domeincontroller) |
2028 |
Hoog |
Verdedigingsontduiking |
| Verdachte DCShadow-aanval (replicatieaanvraag voor domeincontroller) |
2029 |
Hoog |
Verdedigingsontduiking |
| Gegevensexfiltratie via SMB |
2030 |
Hoog |
Exfiltratie, laterale verplaatsing, opdracht en controle |
| Verdachte communicatie via DNS |
2031 |
Gemiddeld |
Exfiltration (Exfiltratie) |
| Verdacht Golden Ticket-gebruik (afwijking van ticket) |
2032 |
Hoog |
Persistentie, Escalatie van bevoegdheden, laterale beweging |
| Verdachte Brute Force-aanval (SMB) |
2033 |
Gemiddeld |
Zijwaartse beweging |
| Verdacht gebruik van metasploit-hackframework |
2034 |
Gemiddeld |
Zijwaartse beweging |
| Verdachte WannaCry ransomware-aanval |
2035 |
Gemiddeld |
Zijwaartse beweging |
| Uitvoering van externe code via DNS |
2036 |
Gemiddeld |
Laterale verplaatsing, escalatie van bevoegdheden |
| Vermoedelijke NTLM Relay-aanval |
2037 |
Gemiddeld of Laag als waargenomen met het ondertekende NTLM v2-protocol |
Laterale verplaatsing, escalatie van bevoegdheden |
| Verkenning van beveiligingsprincipaal (LDAP) |
2038 |
Gemiddeld |
Toegang tot referenties |
| Verdachte manipulatie van NTLM-verificatie |
2039 |
Gemiddeld |
Laterale verplaatsing, escalatie van bevoegdheden |
| Verdacht Golden Ticket-gebruik (ticketafwijking met RBCD) |
2040 |
Hoog |
Persistentie |
| Verdacht gebruik van rogue Kerberos-certificaten |
2047 |
Hoog |
Zijwaartse beweging |
| Verdachte Kerberos-delegatiepoging met behulp van de BronzeBit-methode (CVE-2020-17049-exploitatie) |
2048 |
Gemiddeld |
Toegang tot referenties |
| Reconnaissance van Active Directory-kenmerken (LDAP) |
2210 |
Gemiddeld |
Detectie |
| Verdachte SMB-pakketmanipulatie (CVE-2020-0796-exploitatie) |
2406 |
Hoog |
Zijwaartse beweging |
| Verdachte Kerberos SPN-blootstelling |
2410 |
Hoog |
Toegang tot referenties |
| Verdachte onrechtmatige uitbreiding van netlogon-bevoegdheden (CVE-2020-1472-exploitatie) |
2411 |
Hoog |
Escalatie van bevoegdheden |
| Vermoedelijke AS-REP-brandaanval |
2412 |
Hoog |
Toegang tot referenties |
| Verdachte DKM-sleutel van AD FS gelezen |
2413 |
Hoog |
Toegang tot referenties |
| Uitvoering van externe code voor Exchange Server (CVE-2021-26855) |
2414 |
Hoog |
Zijwaartse beweging |
| Verdachte exploitatiepoging in Windows Print Spooler-service |
2415 |
Hoog of gemiddeld |
Zijwaartse beweging |
| Verdachte netwerkverbinding via Encrypting File System Remote Protocol |
2416 |
Hoog of gemiddeld |
Zijwaartse beweging |
| Verdachte Kerberos-ticketaanvraag |
2418 |
Hoog |
Toegang tot referenties |
| Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287-exploitatie) |
2419 |
Hoog |
Toegang tot referenties |
| Verdachte wijziging van de vertrouwensrelatie van AD FS-server |
2420 |
Gemiddeld |
Escalatie van bevoegdheden |
| Verdachte wijziging van een dNSHostName-kenmerk (CVE-2022-26923) |
2421 |
Hoog |
Escalatie van bevoegdheden |
| Verdachte Kerberos-delegeringspoging door een zojuist gemaakte computer |
2422 |
Hoog |
Escalatie van bevoegdheden |
| Suspicious modification of the Resource Based Constrained Delegation attribute by a machine account (Verdachte wijziging van het kenmerk Beperkte overdracht op basis van resources door een computeraccount) |
2423 |
Hoog |
Escalatie van bevoegdheden |
| Abnormale AD FS-verificatie (Active Directory Federation Services) met behulp van een verdacht certificaat |
2424 |
Hoog |
Toegang tot referenties |
| Verdacht certificaatgebruik via Het Kerberos-protocol (PKINIT) |
2425 |
Hoog |
Zijwaartse beweging |
| Vermoedelijke DFSCoerce-aanval met behulp van Distributed File System Protocol |
2426 |
Hoog |
Toegang tot referenties |
| Honeytoken-gebruikerskenmerken gewijzigd |
2427 |
Hoog |
Persistentie |
| Honeytoken-groepslidmaatschap is gewijzigd |
2428 |
Hoog |
Persistentie |
| Honeytoken is opgevraagd via LDAP |
2429 |
Beperkt |
Detectie |
| Suspicious modification of domain Beheer SdHolder (Verdachte wijziging van domein Beheer SdHolder) |
2430 |
Hoog |
Persistentie |
| Verdachte accountovername met behulp van schaduwreferenties |
2431 |
Hoog |
Toegang tot referenties |
| Verdachte domeincontrollercertificaataanvraag (ESC8) |
2432 |
Hoog |
Escalatie van bevoegdheden |
| Verdachte verwijdering van de certificaatdatabasevermeldingen |
2433 |
Gemiddeld |
Verdedigingsontduiking |
| Suspicious disable of audit filters of AD CS (Verdachte uitschakelen van controlefilters van AD |
2434 |
Gemiddeld |
Verdedigingsontduiking |
| Verdachte wijzigingen in de AD CS-beveiligingsmachtigingen/-instellingen |
2435 |
Gemiddeld |
Escalatie van bevoegdheden |
| Verkenning van accounts (LDAP) (preview) |
2437 |
Gemiddeld |
Accountdetectie, domeinaccount |
| Wachtwoordwijziging in de modus Herstelmodus van Directory Services |
2438 |
Gemiddeld |
Persistentie, accountmanipulatie |
| Honeytoken is opgevraagd via SAM-R |
2439 |
Beperkt |
Detectie |
| Groepsbeleid knoeien |
2440 |
Gemiddeld |
Verdedigingsontduiking |