-
在意想不到的区域或陌生的设备中寻找 MFA 注册 -
查找可能指示凭据转储的进程和程序执行命令行参数,尤其是尝试从域控制器访问或复制 ntds.dit 文件 -
重置密码或应用用户帐户缓解措施后检查可疑特权帐户的使用情况 -
调查通常处于休眠状态的账户中的异常活动 -
扫描不寻常的用户代理字符串,例如通常与正常用户活动不相关的字符串,这可能表示存在机器人活动
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):伊朗黑客充当贩卖美国、加拿大和澳大利亚等国家关键基础设施访问权的经纪人
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论