NTDSとは【用語集詳細】
NTDS(NT Directory Services)は、Active Directoryのドメインコントローラ上に格納されているデータベースファイルであり、Active Directoryのユーザーオブジェクトやグループ、パスワードハッシュを格納しています。実際のファイル名はntds.ditとなっています。NTDSにはパスワードハッシュが格納されているため、OSクレデンシャルダンピングやパス・ザ・ハッシュ攻撃などを用いたハッシュ窃取の対象となります。
攻撃者は、運用されているドメインコントローラからのみならず、ボリューム・シャドウコピー(バックアップ)内のntds.ditを探したり、Windowsコマンドであるntdsutil.exeを利用して内部のデータを収集しようと試みます。
HAFNIUMやMustang Pandaといった国家APTだけでなく、Wizard SpiderやFIN6などのサイバー犯罪集団も、このファイルを狙った攻撃を行っていることがMITRE ATT&CKに掲載されています。