Mauvaise configuration et utilisation des objets dynamiques
medium
Langue :
Description
Détecte les objets dynamiques et les configurations TTL (Time-To-Live) non sécurisées qui permettent aux attaquants de créer des portes dérobées furtives et autodestructives pour échapper à l'audit standard et à l'analyse forensique.
Solution
Supprimez manuellement les objets dynamiques suspects immédiatement pour éviter qu'ils n'échappent à l'analyse forensique, puis restaurez les valeurs TTL msDS-Other-Settings par défaut (900 et 86 400 secondes) pour bloquer les attaques éphémères
Voir aussi
AD Object Detection: Detecting the undetectable (dynamicObject)
Détails de l'indicateur
Nom: Mauvaise configuration et utilisation des objets dynamiques
Nom de code: C-DYNAMIC-OBJECTS
Sévérité: Medium
Type: Active Directory Indicator of Exposure
Family: Hygiène et cycle de vie
- Tactique: TA0003 - Persistence
- Techniques: T1098 - Account Manipulation
- Tactique: TA0005 - Defense Evasion
- Techniques: T1070 - Indicator Removal
- Tactique: TA0005 - Defense Evasion
- Techniques: T1562 - Impair Defenses