1️⃣ Kerberoasting:
يقوم المهاجم بطلب تذاكر Kerberos المرتبطة بحسابات الخدمات (Service Accounts) ثم يحاول كسرها خارج الشبكة لاستخراج كلمات المرور.
2️⃣ Password Spraying:
يُجرّب المهاجم كلمة مرور شائعة واحدة على عدد كبير من الحسابات، لتجنّب قفل الحسابات بسبب المحاولات الفاشلة.
3️⃣ LLMNR Poisoning:
يعتمد على انتحال الردود في الشبكة الداخلية من خلال بروتوكول LLMNR لاعتراض طلبات الأجهزة وسرقة تجزئة كلمات المرور (NTLM Hashes).
4️⃣ Pass-the-Hash:
يستغل المهاجم تجزئة كلمة المرور (hash) المسروقة لتسجيل الدخول إلى الأنظمة، دون الحاجة إلى معرفة كلمة المرور الأصلية، وغالبًا باستخدام أداة مثل Mimikatz.
5️⃣ Default Credentials:
يستفيد المهاجم من الحسابات الافتراضية التي لم تُغيَّر بعد تثبيت البرامج أو الأجهزة، مثل: admin / admin.
6️⃣ Hard-coded Credentials:
كلمات مرور يتم تضمينها مباشرة في الشيفرات البرمجية، أو في ملفات الإعداد، أو سياسات النظام، ما يسهل على المهاجم استخراجها واستغلالها.
7️⃣ Privilege Escalation:
يحاول المهاجم استغلال ثغرات أو إعدادات خاطئة للانتقال من صلاحيات محدودة إلى صلاحيات المدير (Administrator).
8️⃣ LDAP Reconnaissance:
يقوم المهاجم بجمع معلومات حول البنية الداخلية لـ Active Directory مثل أسماء المستخدمين والمجموعات من خلال استعلامات LDAP حتى بدون مصادقة أحيانًا.
9️⃣ BloodHound Recon:
أداة تعتمد على تحليل الرسوم البيانية لتحديد مسارات تصعيد الامتيازات داخل Active Directory، ما يساعد المهاجم في التخطيط لهجماته بدقة.
🔟 NTDS.dit Extraction:
يستخرج المهاجم ملف قاعدة البيانات الرئيسي لـ Active Directory، والذي يحتوي على جميع حسابات المستخدمين وتجزئات كلمات المرور.
🎯 هذه الهجمات غالبًا لا تُكتشف إلا بعد فوات الأوان.
الثغرات الصغيرة، الحسابات المنسية، والإعدادات غير الآمنة هي فرص مثالية للمهاجمين.
