NTDSとは【用語集詳細】


NTDSにはパスワードハッシュが格納されているため、OSクレデンシャルダンピングやパス・ザ・ハッシュ攻撃などを用いたハッシュ窃取の対象となります。
攻撃者は、運用されているドメインコントローラからのみならず、ボリューム・シャドウコピー(バックアップ)内のntds.ditを探したり、Windowsコマンドであるntdsutil.exeを利用して内部のデータを収集しようと試みます。
HAFNIUMやMustang Pandaといった国家APTだけでなく、Wizard SpiderやFIN6などのサイバー犯罪集団も、このファイルを狙った攻撃を行っていることがMITRE ATT&CKに掲載されています。