※内容改定あり
T1110
Brute Force
ブルートフォース(総当たり攻撃)

攻撃者は、パスワードが不明な場合やパスワードハッシュを取得した場合に、ブルートフォース(総当たり攻撃)を使ってアカウントへのアクセスを試みることがあります。

Credential Dumping(資格情報ダンピング)は、パスワードハッシュを取得するために使用されます。これは、これまでのところ、Pass the Hashが選択肢にないときに、攻撃者が使う可能性があります。ハッシュの計算に使用されるパスワードを体系的に推測するテクニックが利用でき、攻撃者は事前に計算されたレインボーテーブルを使用してハッシュをクラックする場合があります。ハッシュのクラッキングは通常、ターゲットネットワーク外の攻撃者配下のシステムで行われます。 [1]

攻撃者は、ゼロ知識を使用するか、既知のまたは考えられるパスワードのリストを試行することにより、パスワードまたはハッシュを知らない攻撃中にブルートフォースログインを試みる可能性があります。組織のログイン失敗ポリシーによっては、認証の失敗やアカウントのロックアウトを何度も引き起こす可能性があるため、これはリスクの高い選択肢です。[2]

パスワードスプレーと呼ばれる関連手法では、ドメインの複雑度ポリシーに一致し、一般的に使用されるパスワードである可能性のある1つのパスワード(「Password01」など)、またはパスワードの小さなリストを使用します。多くのパスワードを使用して一つのアカウントを総当たりするときに通常発生するアカウントロックアウトを回避するために、そのパスワードとネットワーク上の多くの異なるアカウントを使用してログインが試行されます。[3]

通常、よく使用されるポートを介した管理サービスは、パスワードスプレーに使用されます。一般的に対象となるサービスは次のとおりです。

  • SSH (22/tCP)
  • Telnet (23/tCP)
  • FTP (21/tCP)
  • NetBIOS / SMB / Samba (139/tCP & 445/tCP)
  • LDAP (389/tCP)
  • Kerberos (88/tCP)
  • RDP / Terminal Services (3389/tCP)
  • HTTP/HTTP Management Services (80/tCP & 443/tCP)
  • MSSQL (1433/tCP)
  • Oracle (1521/tCP)
  • MySQL (3306/tCP)
  • VNC (5900/tCP)

攻撃者は、管理サービスに加えて、"連携認証プロトコルを利用するシングルサインオン(SSO)とクラウドベースのアプリケーション、およびOffice 365のような外部向けの電子メールアプリケーションを対象"とする可能性があります。[4]

デフォルトの環境では、LDAPおよびKerberos接続の試行がSMBを介してイベントをトリガーする可能性は低く、Windowsの「ログオン失敗」イベントID 4625が作成されます。

翻訳原文:Last Modified: 09 October 2019