问被黑客攻击的AD登录和密码列表

EN

在前提下，Active在域控制器上的NTDS.dit文件中存储NTLM密码散列。如果您拥有域管理权限(或域控制器的备份)，则可以使用NtdsAudit这样的工具提取密码哈希，还有其他各种方法可以通过网络以适当的权限提取密码哈希。然后，您可以尝试破解散列以获得明文密码--尽管成功与否取决于密码的强度。

可以将AD配置为使用可逆加密存储密码，这意味着任何具有上述访问权限的人都可以将密码转储出去--但这是非常罕见的配置(我只见过几次)。

关于如何计算这些密码是否来自AD，您可以查看以下几点：

• 用户名和密码列表是否与AD中的帐户相匹配？
• 假设不启用可逆加密，是否任何密码太强，无法从NTLM散列中实际破解(例如，您永远不会破解一个15个字符的随机散列)。

如果其中任何一个都不是真的，那么密码很可能来自其他地方(比如妥协的web应用程序)。

100,000用户是一个相当大的广告域名，这意味着它是一个大的组织谁受到了损害。如果他们没有请专业法医/IR人员来回答这些问题，那将是相当无能的。