Suspeita de injeção com história de SID |
1106 |
Alto |
Escalamento de Privilégios |
Suspeita de ataque overpass-the-hash (Kerberos) |
2002 |
Médio |
Movimento lateral |
Reconhecimento de enumeração de contas |
2003 |
Médio |
Deteção |
Suspeita de ataque de Força Bruta (LDAP) |
2004 |
Médio |
Acesso a credenciais |
Suspeita de ataque DCSync (replicação de serviços de diretório) |
2006 |
Alto |
Acesso a credenciais, persistência |
Reconhecimento de mapeamento de rede (DNS) |
2007 |
Médio |
Deteção |
Suspeita de ataque over-pass-the-hash (tipo de criptografia forçada) |
2008 |
Médio |
Movimento lateral |
Suspeita de uso do Golden Ticket (downgrade de criptografia) |
2009 |
Médio |
Persistência, Escalonamento de privilégios, Movimento lateral |
Suspeita de ataque da Chave Esqueleto (downgrade de criptografia) |
2010 |
Médio |
Persistência, Movimento lateral |
Reconhecimento de usuários e endereços IP (SMB) |
2012 |
Médio |
Deteção |
Suspeita de uso do Golden Ticket (dados de autorização falsificados) |
2013 |
Alto |
Acesso a credenciais |
Atividade de autenticação Honeytoken |
2014 |
Médio |
Acesso a credenciais, Descoberta |
Suspeita de roubo de identidade (pass-the-hash) |
2017 |
Alto |
Movimento lateral |
Suspeita de roubo de identidade (pass-the-ticket) |
2018 |
Alto ou Médio |
Movimento lateral |
Tentativa remota de execução de código |
2019 |
Médio |
Execução, Persistência, Escalada de privilégios, Evasão de defesa, Movimento lateral |
Solicitação maliciosa da chave mestra da API de Proteção de Dados |
2020 |
Alto |
Acesso a credenciais |
Reconhecimento de membros de usuários e grupos (SAMR) |
2021 |
Médio |
Deteção |
Suspeita de uso do Golden Ticket (anomalia de tempo) |
2022 |
Alto |
Persistência, Escalonamento de privilégios, Movimento lateral |
Suspeita de ataque de força bruta (Kerberos, NTLM) |
2023 |
Médio |
Acesso a credenciais |
Adições suspeitas a grupos confidenciais |
2024 |
Médio |
Persistência, acesso a credenciais, |
Conexão VPN suspeita |
2025 |
Médio |
Evasão defensiva, Persistência |
Criação de serviço suspeito |
2026 |
Médio |
Execução, Persistência, Escalada de Privilégios, Evasão de Defesa, Movimento Lateral |
Suspeita de uso do Golden Ticket (conta inexistente) |
2027 |
Alto |
Persistência, Escalonamento de privilégios, Movimento lateral |
Suspeita de ataque DCShadow (promoção do controlador de domínio) |
2028 |
Alto |
Evasão à defesa |
Suspeita de ataque DCShadow (solicitação de replicação do controlador de domínio) |
2029 |
Alto |
Evasão à defesa |
Exfiltração de dados através de SMB |
2030 |
Alto |
Exfiltração, Movimento lateral, Comando e controlo |
Comunicação suspeita através de DNS |
2031 |
Médio |
Exfiltração |
Suspeita de utilização do Golden Ticket (anomalia do bilhete) |
2032 |
Alto |
Persistência, Escalonamento de privilégios, Movimento lateral |
Suspeita de ataque de Força Bruta (SMB) |
2033 |
Médio |
Movimento lateral |
Suspeita de uso da estrutura de hacking Metasploit |
2034 |
Médio |
Movimento lateral |
Suspeita de ataque de ransomware WannaCry |
2035 |
Médio |
Movimento lateral |
Execução remota de código através de DNS |
2036 |
Médio |
Movimento lateral, escalonamento de privilégios |
Suspeita de ataque de relé NTLM |
2037 |
Médio ou Baixo se observado usando o protocolo NTLM v2 assinado |
Movimento lateral, escalonamento de privilégios |
Reconhecimento da entidade de segurança (LDAP) |
2038 |
Médio |
Acesso a credenciais |
Suspeita de adulteração de autenticação NTLM |
2039 |
Médio |
Movimento lateral, escalonamento de privilégios |
Suspeita de uso do Golden Ticket (anomalia do bilhete usando RBCD) |
2040 |
Alto |
Persistência |
Suspeita de uso de certificado Kerberos não autorizado |
2047 |
Alto |
Movimento lateral |
Tentativa suspeita de delegação Kerberos usando o método BronzeBit (exploração CVE-2020-17049) |
2048 |
Médio |
Acesso a credenciais |
Reconhecimento de atributos do Ative Directory (LDAP) |
2210 |
Médio |
Deteção |
Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) |
2406 |
Alto |
Movimento lateral |
Suspeita de exposição ao Kerberos SPN |
2410 |
Alto |
Acesso a credenciais |
Suspeita de tentativa de elevação de privilégio Netlogon (exploração CVE-2020-1472) |
2411 |
Alto |
Escalamento de Privilégios |
Suspeita de ataque de torrefação AS-REP |
2412 |
Alto |
Acesso a credenciais |
Suspeita de leitura da chave AD FS DKM |
2413 |
Alto |
Acesso a credenciais |
Execução remota de código do Exchange Server (CVE-2021-26855) |
2414 |
Alto |
Movimento lateral |
Suspeita de tentativa de exploração no serviço Spooler de Impressão do Windows |
2415 |
Alto ou Médio |
Movimento lateral |
Ligação de rede suspeita através do protocolo remoto do sistema de encriptação de ficheiros |
2416 |
Alto ou Médio |
Movimento lateral |
Solicitação suspeita de tíquete Kerberos suspeito |
2418 |
Alto |
Acesso a credenciais |
Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) |
2419 |
Alto |
Acesso a credenciais |
Modificação suspeita da relação de confiança do servidor AD FS |
2420 |
Médio |
Escalamento de Privilégios |
Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) |
2421 |
Alto |
Escalamento de Privilégios |
Tentativa suspeita de delegação Kerberos por um computador recém-criado |
2422 |
Alto |
Escalamento de Privilégios |
Modificação suspeita do atributo Delegação Restrita Baseada em Recursos por uma conta de máquina |
2423 |
Alto |
Escalamento de Privilégios |
Autenticação anormal dos Serviços de Federação do Ative Directory (AD FS) usando um certificado suspeito |
2424 |
Alto |
Acesso a credenciais |
Uso suspeito de certificados pelo protocolo Kerberos (PKINIT) |
2425 |
Alto |
Movimento lateral |
Suspeita de ataque DFSCoerce usando o protocolo de sistema de arquivos distribuídos |
2426 |
Alto |
Acesso a credenciais |
Atributos de usuário do Honeytoken modificados |
2427 |
Alto |
Persistência |
Membro do grupo Honeytoken alterado |
2428 |
Alto |
Persistência |
Honeytoken foi consultado via LDAP |
2429 |
Baixo |
Deteção |
Modificação suspeita do domínio AdminSdHolder |
2430 |
Alto |
Persistência |
Suspeita de invasão de conta usando credenciais de sombra |
2431 |
Alto |
Acesso a credenciais |
Solicitação suspeita de certificado do controlador de domínio (ESC8) |
2432 |
Alto |
Escalonamento de privilégios |
Exclusão suspeita das entradas do banco de dados de certificados |
2433 |
Médio |
Evasão à defesa |
Desativação suspeita de filtros de auditoria do AD CS |
2434 |
Médio |
Evasão à defesa |
Modificações suspeitas nas permissões/configurações de segurança do AD CS |
2435 |
Médio |
Escalonamento de privilégios |
Reconhecimento de enumeração de conta (LDAP) (Visualização) |
2437 |
Médio |
Descoberta de conta, Conta de domínio |
Alteração de senha do modo de restauração dos serviços de diretório |
2438 |
Médio |
Persistência, Manipulação de Conta |
Honeytoken foi consultado via SAM-R |
2439 |
Baixo |
Deteção |
Violação da Política de Grupo |
2440 |
Médio |
Evasão à defesa |