攻撃者は、資格情報アクセス技術を使用して特定のユーザーまたはサービスアカウントの資格情報を盗むか、あるいは初期アクセスを得るためのソーシャルエンジニアリングを通じて偵察プロセスの早い段階で資格情報を取得します。
攻撃者が使用するアカウントは、デフォルトアカウント、ローカルアカウント、ドメインアカウントの3つのカテゴリに分類できます。デフォルトアカウントは、Windowsシステムのゲストまたは管理者アカウント、または他のタイプのシステム、ソフトウェア、またはデバイスのデフォルトの工場/プロバイダーセットアカウントなど、OSに組み込まれているものです。ローカルアカウントは、ユーザー、リモートサポート、サービスで使用するために組織によって、または単一のシステムやサービスでの管理のために組織によって設定されたアカウントです。 [1]ドメインアカウントは、そのドメインの一部であるシステムとサービス全体でアクセスとアクセス許可が構成されているActive Directoryドメインサービスによって管理されているアカウントです。ドメインアカウントは、ユーザー、管理者、およびサービスをカバーできます。
侵害された資格情報は、ネットワーク内のシステムのさまざまなリソースに配置されたアクセスコントロールをバイパスするために使用される可能性があり、また、VPN、Outlook Web Access、リモートデスクトップなどの外部システムおよび外部で利用可能なサービスへの永続的なアクセスにも使用される可能性があります。資格情報が侵害されると、特定のシステムまたはネットワークの制限された領域へのアクセスに対する攻撃者の権限が増加する場合があります。攻撃者は、検出をより困難にする正当なアカウントの資格情報を組み合わせることで、マルウェアやツールを使用しない場合があります。
デフォルトアカウントは、クライアントマシンのゲストと管理者に限定されるものではなく、内部デバイス、オープンソース、COTSなど、ネットワークデバイスやコンピューターアプリケーションなどの機器用に事前設定されたアカウントも含まれます。ユーザー名とパスワードの組み合わせが事前設定されているアプライアンスは、インストール後にユーザー名とパスワードの変更をしない組織にとって深刻な脅威となります。これは、攻撃者の標的になりやすいためです。同様に、攻撃者は、公開された秘密鍵または盗まれた秘密鍵を利用して、リモートサービス経由でリモート環境に正当に接続することもできます。[2]
ネットワークを超えるアカウントアクセス、資格情報、およびアクセス許可の重複は、懸念されます。なぜなら、攻撃者は企業内で、アクセスコントロールを迂回する高レベルのアクセス(ドメインまたはエンタープライズ管理者)に到達するためにアカウントやシステム超えの軸にする可能性があるからです。[3]