用户(组)探测攻击
原理说明
攻击者只需要在域内某个主机上执行”net user /domain”, “net group /domain”之类的cmd命令,就可以进行用户(组)探测攻击,获取到域内的用户、用户组、以及对应的权限,从而确定下一步的攻击对象。
危害说明
1、主机可能已被攻陷,成为内网跳板机对域控服务器进行攻击。
2、主机可能已中毒,主机敏感信息存在被泄露的风险。
处置建议
1、推荐使用深信服EDR工具进行分析并查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip